Admin Is Trac Ion Red Solar Is

Gua de administracin del sistema: servicios IP
Sun Microsystems, Inc. 4150 Network Circle Santa Clara, CA 95054 U.S.A.
Referencia: 820298116 Octubre de 2009
Copyright 2009 Sun Microsystems, Inc.
4150 Network Circle, Santa Clara, CA 95054 U.S.A.
Reservados todos los derechos.
Sun Microsystems, Inc. tiene derechos de propiedad intelectual relacionados con la tecnologa del producto que se describe en este documento. En concreto, y sin limitarse a ello, estos derechos de propiedad intelectual pueden incluir una o ms patentes de EE. UU. o aplicaciones pendientes de patente en EE. UU. y otros pases. Derechos del Gobierno de los Estados Unidos: software comercial. Los usuarios gubernamentales estn sujetos al acuerdo de licencia estndar de Sun Microsystems, Inc. y a las disposiciones aplicables de la regulacin FAR y sus suplementos. Esta distribucin puede incluir materiales desarrollados por terceras partes. Determinadas partes del producto pueden proceder de sistemas Berkeley BSD, con licencia de la Universidad de California. UNIX es una marca registrada en los EE.UU. y otros pases, bajo licencia exclusiva de X/Open Company, Ltd. Sun, Sun Microsystems, el logotipo de Sun, el logotipo de Solaris, el logotipo de la taza de caf de Java, docs.sun.com, Sun Quad FastEthernet, Java y Solaris son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en EE.UU y otros pases. Todas las marcas registradas SPARC se usan bajo licencia y son marcas comerciales o marcas registradas de SPARC International, Inc. en los EE.UU. y en otros pases. Los productos con las marcas registradas de SPARC se basan en una arquitectura desarrollada por Sun Microsystems, Inc. La interfaz grfica de usuario OPEN LOOK y SunTM fue desarrollada por Sun Microsystems, Inc. para sus usuarios y licenciatarios. Sun reconoce los esfuerzos pioneros de Xerox en la investigacin y desarrollo del concepto de interfaces grficas o visuales de usuario para el sector de la informtica. Sun dispone de una licencia no exclusiva de Xerox para la interfaz grfica de usuario de Xerox, que tambin cubre a los licenciatarios de Sun que implementen las GUI de OPEN LOOK y que, por otra parte, cumplan con los acuerdos de licencia por escrito de Sun. Los productos comentados y la informacin contenida en esta publicacin estn controlados por las leyes de control de exportacin de los Estados Unidos y pueden estar sujetos a leyes de exportacin o importacin en otros pases. Queda terminantemente prohibido el uso final (directo o indirecto) de esta documentacin para el desarrollo de armas nucleares, qumicas, biolgicas, de uso martimo nuclear o misiles. Queda terminantemente prohibida la exportacin o reexportacin a pases sujetos al embargo de los Estados Unidos o a entidades identificadas en las listas de exclusin de exportacin de los Estados Unidos, incluidas, aunque sin limitarse a, las personas con acceso denegado y las listas de ciudadanos designados con carcter especial. ESTA DOCUMENTACIN SE PROPORCIONA TAL CUAL. SE RENUNCIA A TODAS LAS CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUIDAS CUALQUIER GARANTA IMPLCITA DE COMERCIALIZACIN, ADECUACIN PARA UNA FINALIDAD DETERMINADA O DE NO CONTRAVENCIN, EXCEPTO EN AQUELLOS CASOS EN QUE DICHA RENUNCIA NO FUERA LEGALMENTE VLIDA. Copyright 2009 Sun Microsystems, Inc. 4150 Network Circle, Santa Clara, CA 95054 U.S.A. Tous droits rservs.
Sun Microsystems, Inc. dtient les droits de proprit intellectuelle relatifs la technologie incorpore dans le produit qui est dcrit dans ce document. En particulier, et ce sans limitation, ces droits de proprit intellectuelle peuvent inclure un ou plusieurs brevets amricains ou des applications de brevet en attente aux Etats-Unis et dans d'autres pays. Cette distribution peut comprendre des composants dvelopps par des tierces personnes. Certaines composants de ce produit peuvent tre drives du logiciel Berkeley BSD, licencis par l'Universit de Californie. UNIX est une marque dpose aux Etats-Unis et dans d'autres pays; elle est licencie exclusivement par X/Open Company, Ltd. Sun, Sun Microsystems, le logo Sun, le logo Solaris, le logo Java Coffee Cup, docs.sun.com, Java et Solaris sont des marques de fabrique ou des marques dposes de Sun Microsystems, Inc., ou ses filiales, aux Etats-Unis et dans d'autres pays. Toutes les marques SPARC sont utilises sous licence et sont des marques de fabrique ou des marques dposes de SPARC International, Inc. aux Etats-Unis et dans d'autres pays. Les produits portant les marques SPARC sont bass sur une architecture dveloppe par Sun Microsystems, Inc. L'interface d'utilisation graphique OPEN LOOK et Sun a t dveloppe par Sun Microsystems, Inc. pour ses utilisateurs et licencis. Sun reconnat les efforts de pionniers de Xerox pour la recherche et le dveloppement du concept des interfaces d'utilisation visuelle ou graphique pour l'industrie de l'informatique. Sun dtient une licence non exclusive de Xerox sur l'interface d'utilisation graphique Xerox, cette licence couvrant galement les licencis de Sun qui mettent en place l'interface d'utilisation graphique OPEN LOOK et qui, en outre, se conforment aux licences crites de Sun. Les produits qui font l'objet de cette publication et les informations qu'il contient sont rgis par la legislation amricaine en matire de contrle des exportations et peuvent tre soumis au droit d'autres pays dans le domaine des exportations et importations. Les utilisations finales, ou utilisateurs finaux, pour des armes nuclaires, des missiles, des armes chimiques ou biologiques ou pour le nuclaire maritime, directement ou indirectement, sont strictement interdites. Les exportations ou rexportations vers des pays sous embargo des Etats-Unis, ou vers des entits figurant sur les listes d'exclusion d'exportation amricaines, y compris, mais de manire non exclusive, la liste de personnes qui font objet d'un ordre de ne pas participer, d'une faon directe ou indirecte, aux exportations des produits ou des services qui sont rgis par la legislation amricaine en matire de contrle des exportations et la liste de ressortissants spcifiquement designs, sont rigoureusement interdites. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTES AUTRES CONDITIONS, DECLARATIONS ET GARANTIES EXPRESSES OU TACITES SONT FORMELLEMENT EXCLUES, DANS LA MESURE AUTORISEE PAR LA LOI APPLICABLE, Y COMPRIS NOTAMMENT TOUTE GARANTIE IMPLICITE RELATIVE A LA QUALITE MARCHANDE, A L'APTITUDE A UNE UTILISATION PARTICULIERE OU A L'ABSENCE DE CONTREFACON.
091014@23031
Contenido
Prefacio ..................................................................................................................................................29
Parte I
Introduccin a la administracin del sistema: servicios IP ...........................................................35
Conjunto de protocolos TCP/IP de Solaris (descripcin general) ................................................ 37 Novedades de esta versin .................................................................................................................. 37 Introduccin al conjunto de protocolos TCP/IP ............................................................................. 37 Capas de protocolo y el modelo de Interconexin de Sistemas Abiertos .............................. 38 Modelo de arquitectura del protocolo TCP/IP ......................................................................... 39 Cmo manejan las comunicaciones de datos los protocolos TCP/IP ........................................... 45 Encapsulado de datos y la pila de protocolo TCP/IP ............................................................... 45 Admisin de seguimiento interno de TCP/IP .......................................................................... 49 Informacin adicional sobre TCP/IP e Internet .............................................................................. 49 Manuales sobre TCP/IP .............................................................................................................. 49 Pginas web sobre TCP/IP y redes ............................................................................................. 49 Peticiones de comentarios y borradores de Internet ................................................................ 50
Parte II
Administracin de TCP/IP .................................................................................................................. 51
Planificacin de la red TCP/IP (tareas) ............................................................................................. 53 Planificacin de la red (mapa de tareas) ............................................................................................ 54 Determinacin del hardware de red .................................................................................................. 55 Cmo decidir el formato de las direcciones IP para la red ............................................................. 55 Direcciones IPv4 .......................................................................................................................... 56 Direcciones IPv4 en formato CIDR ........................................................................................... 56 Direcciones DHCP ...................................................................................................................... 57 Direcciones IPv6 .......................................................................................................................... 57
3
Contenido
Direcciones privadas y prefijos de documentacin ................................................................. 57 Cmo obtener el nmero de IP de la red .......................................................................................... 58 Cmo disear un esquema de direcciones IPv4 .............................................................................. 58 Cmo disear un esquema de direcciones IPv4 ....................................................................... 60 Nmero de subred IPv4 ............................................................................................................... 61 Cmo disear un esquema de direcciones IPv4 CIDR ............................................................ 61 Uso de direcciones IPv4 privadas ............................................................................................... 62 Aplicacin de las direcciones IP a las interfaces de red ............................................................ 63 Entidades de denominacin en la red ............................................................................................... 63 Administracin de nombres de host .......................................................................................... 64 Seleccin de un servicio de nombres y de directorios .............................................................. 64 Planificacin de encaminadores en la red ......................................................................................... 66 Descripcin general de la topologa de red ............................................................................... 66 Cmo transfieren los paquetes los encaminadores .................................................................. 68
Introduccin a IPv6 (descripcin general) ...................................................................................... 71 Caractersticas principales de IPv6 .................................................................................................... 72 Direcciones ampliadas ................................................................................................................ 72 Configuracin automtica de direcciones y descubrimiento de vecinos .............................. 72 Simplificacin del formato del encabezado .............................................................................. 72 Ms posibilidades en las opciones de encabezado de IP .......................................................... 73 Compatibilidad de aplicaciones con direcciones IPv6 ............................................................ 73 Otros recursos de IPv6 ................................................................................................................ 73 Descripcin general de las redes IPv6 ............................................................................................... 75 Descripcin general de las direcciones IPv6 .................................................................................... 76 Partes de una direccin IPv6 ....................................................................................................... 77 Abreviacin de direcciones IPv6 ................................................................................................ 78 Prefijos de IPv6 ............................................................................................................................. 79 Direcciones unidifusin .............................................................................................................. 79 Direcciones multidifusin .......................................................................................................... 82 Grupos y direcciones de difusin por proximidad .................................................................. 83 Descripcin general del protocolo ND de IPv6 ............................................................................... 83 Configuracin automtica de direcciones IPv6 ............................................................................... 84 Descripcin general de configuracin automtica sin estado ................................................ 84 Descripcin general sobre los tneles de IPv6 ................................................................................. 85
Gua de administracin del sistema: servicios IP Octubre de 2009
Contenido
Planificacin de una red IPv6 (tareas) ............................................................................................. 87 Planificacin de IPv6 (mapas de tareas) ........................................................................................... 87 Situacin hipottica de topologa de red IPv6 .................................................................................. 89 Preparacin de la red ya configurada para admitir IPv6 ................................................................. 90 Preparacin de la topologa red para admitir IPv6 .................................................................. 90 Preparacin de servicios de red para admitir IPv6 ................................................................... 91 Preparacin de servidores para admitir IPv6 ........................................................................... 91 Cmo preparar servicios de red para admitir IPv6 .................................................................. 92 Cmo preparar DNS para admitir IPv6 .................................................................................... 93 Planificacin de tneles en la topologa de red ......................................................................... 93 Aspectos relacionados con la seguridad en la implementacin de IPv6 ................................ 94 Preparacin de un plan de direcciones IPv6 .................................................................................... 95 Obtencin de un prefijo de sitio ................................................................................................. 95 Creacin del esquema de numeracin de IPv6 ......................................................................... 95
Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) .........................................97 Novedades de este captulo ................................................................................................................. 98 Antes de configurar una red IPv4 (mapa de tareas) ........................................................................ 98 Cmo determinar los modos de configuracin de host .................................................................. 99 Sistemas que deben ejecutarse en modo de archivos locales ................................................... 99 Sistemas que son clientes de red ............................................................................................... 101 Configuraciones mixtas ............................................................................................................ 101 Ejemplo de topologa de red IPv4 ............................................................................................ 101 Cmo agregar una subred a una red (mapa de tareas) .................................................................. 102 Mapa de tareas de configuracin de red .......................................................................................... 103 Configuracin de sistemas en la red local ....................................................................................... 104 Cmo configurar un host para el modo de archivos locales ................................................. 105 Cmo instalar un servidor de configuracin de red .............................................................. 107 Configuracin de clientes de red .............................................................................................. 108 Cmo configurar hosts para el modo de cliente de red ......................................................... 109 Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red .................. 110 Reenvo de paquetes y rutas en redes IPv4 ..................................................................................... 114 Protocolos de encaminamiento admitidos por el sistema operativo Solaris ...................... 115 Topologa de sistemas autnomos IPv4 .................................................................................. 119 Configuracin de un encaminador IPv4 ................................................................................. 122
5
Contenido
Tablas y tipos de encaminamiento ........................................................................................... 127 Configuracin de hosts mltiples ............................................................................................ 131 Configuracin del encaminamiento para sistemas de interfaz nica .................................. 134 Supervisin y modificacin de los servicios de capa de transporte ............................................. 139 Cmo registrar las direcciones IP de todas las conexiones TCP entrantes ......................... 139 Cmo agregar servicios que utilicen el protocolo SCTP ....................................................... 140 Cmo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP ............... 143 Administracin de interfaces en Solaris 10 3/05 ............................................................................ 144 Novedades de esta seccin ........................................................................................................ 144 Configuracin de interfaces fsicas en Solaris 10 3/05 ........................................................... 144 Configuracin de VLAN en Solaris 10 3/05 SOLAMENTE ................................................. 148
Administracin de interfaces de red (tareas) ............................................................................... 153 Novedades en la administracin de interfaces de red ................................................................... 153 Administracin de interfaces (mapa de tareas) ............................................................................. 154 Administracin de interfaces de red individuales ......................................................................... 154 Cmo obtener el estado de una interfaz .................................................................................. 155 Cmo configurar una interfaz fsica tras la instalacin del sistema ..................................... 156 Cmo eliminar una interfaz fsica ............................................................................................ 159 SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica .................. 160 Aspectos bsicos sobre la administracin de interfaces fsicas .................................................... 162 Nombres de interfaz de red ....................................................................................................... 162 Conexin de una interfaz .......................................................................................................... 163 Tipos de interfaz del sistema operativo Solaris ....................................................................... 163 Administracin de redes de rea local virtuales ............................................................................. 164 Descripcin general de una configuracin VLAN ................................................................. 164 Planificacin de una red para redes VLAN ............................................................................. 167 Configuracin de redes VLAN ................................................................................................. 167 Descripcin general de agregaciones de vnculos .......................................................................... 170 Conceptos bsicos de agregaciones de vnculos ..................................................................... 170 Agregaciones de vnculos de extremo a extremo ................................................................... 172 Directivas y equilibrio de la carga ............................................................................................ 173 Modo de agregacin y nodos .................................................................................................... 173 Requisitos para agregaciones de vnculos ............................................................................... 174 Cmo crear una agregacin de vnculos ................................................................................. 174
Contenido
Cmo modificar una agregacin .............................................................................................. 176 Cmo eliminar una interfaz de una agregacin ..................................................................... 178 Cmo eliminar una agregacin ................................................................................................ 178 Cmo configurar VLAN a travs de una adicin de vnculos .............................................. 179
Configuracin de una red IPv6 (tareas). ........................................................................................ 181 Configuracin de una interfaz de IPv6 ........................................................................................... 181 Habilitacin de IPv6 en una interfaz (mapa de tareas) .......................................................... 182 Cmo habilitar una interfaz de IPv6 para la sesin actual .................................................... 182 Cmo habilitar interfaces de IPv6 de manera permanente ................................................... 184 Cmo desactivar la configuracin automtica de direcciones IPv6 .................................... 186 Configuracin de un encaminador IPv6 ........................................................................................ 187 Configuracin de IPv6 en encaminadores (mapa de tareas) ................................................ 187 Cmo configurar un encaminador habilitado para IPv6 ...................................................... 188 Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores ................... 191 Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas) ...................... 192 Uso de direcciones temporales para una interfaz ................................................................... 192 Configuracin de un token IPv6 .............................................................................................. 195 Administracin de interfaces habilitadas para IPv6 en servidores ...................................... 198 Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) ............... 199 Configuracin de tneles para compatibilidad con IPv6 ............................................................. 200 Cmo configurar manualmente IPv6 a travs de tneles IPv4 ............................................ 200 Cmo configurar manualmente tneles IPv6 a travs de IPv6 ............................................ 201 Cmo configurar tneles IPv4 a travs de IPv6 ...................................................................... 202 Cmo configurar un tnel 6to4 ................................................................................................ 203 Cmo configurar un tnel 6to4 hasta un encaminador de reenvo 6to4 ............................. 207 Configuracin de la compatibilidad con el servicio de nombres para IPv6 ............................... 209 Cmo agregar direcciones IPv6 a DNS ................................................................................... 209 Adicin de direcciones IPv6 a NIS ........................................................................................... 210 Cmo visualizar informacin sobre servicios de nombres de IPv6 ..................................... 210 Cmo verificar que los registros PTR de DNS IPv6 se actualicen correctamente .............. 211 Cmo visualizar informacin de IPv6 mediante NIS ............................................................ 212 Cmo visualizar informacin relativa a IPv6 al margen del servicio de nombres ............. 212
Contenido
Administracin de redes TCP/IP (tareas) ....................................................................................... 215 Tareas de administracin principales de TCP/IP (mapa de tareas) ............................................ 216 Supervisin de la configuracin de interfaz con el comando ifconfig ..................................... 217 Cmo obtener informacin sobre una interfaz especfica .................................................... 217 Cmo mostrar asignaciones de direccin de interfaz ............................................................ 219 Supervisin del estado de la red con el comando netstat ........................................................... 221 Cmo visualizar estadsticas por protocolo ............................................................................ 221 Cmo visualizar el estado de protocolos de transporte ......................................................... 223 Cmo visualizar el estado de interfaces de red ....................................................................... 224 Cmo visualizar el estado de los sockets ................................................................................. 225 Cmo visualizar el estado de las transmisiones de paquetes de un determinado tipo de direccin ..................................................................................................................................... 227 Cmo visualizar el estado de rutas conocidas ......................................................................... 227 Sondeo de hosts remotos con el comando ping ............................................................................ 228 Cmo determinar si un host remoto est en ejecucin ......................................................... 229 Cmo determinar si un host descarta paquetes ..................................................................... 229 Administracin y registro de la visualizacin del estado de la red ............................................... 230 Cmo controlar la salida de visualizacin de comandos relacionados con IP ................... 230 Cmo registrar acciones del daemon de rutas de IPv4 .......................................................... 231 Cmo efectuar el seguimiento de las actividades del daemon de descubrimiento cercano de IPv6 .............................................................................................................................................. 232 Visualizacin de informacin de encaminamiento con el comando traceroute .................... 233 Cmo saber la ruta de un host remoto ..................................................................................... 234 Cmo efectuar el seguimiento de todas las rutas .................................................................... 234 Control de transferencias de paquetes con el comando snoop .................................................... 235 Cmo comprobar paquetes de todas las interfaces ................................................................ 235 Cmo capturar salida del comando snoop en un archivo ..................................................... 237 Cmo comprobar paquetes entre un cliente y un servidor IPv4 .......................................... 238 Cmo supervisar trfico de redes IPv6 .................................................................................... 238 Administracin de seleccin de direcciones predeterminadas .................................................... 239 Cmo administrar la tabla de directrices de seleccin de direcciones IPv6 ........................ 239 Cmo modificar la tabla de seleccin de direcciones IPv6 slo para la sesin actual ........ 241
Resolucin de problemas de red (Tareas) ..................................................................................... 243 Novedades de Resolucin de problemas de red ............................................................................. 243 Consejos de resolucin de problemas de red generales ................................................................ 243
Contenido
Ejecucin de comprobaciones de diganstico bsicas ........................................................... 244 Cmo realizar comprobaciones de software de red bsicas .................................................. 244 Problemas comunes al utilizar IPv6 ................................................................................................ 245 El encaminador IPv4 no puede actualizarse a IPv6 ............................................................... 245 Problemas tras la actualizacin de servicios a IPv6 ................................................................ 245 El ISP actual no admite IPv6 ..................................................................................................... 245 Cuestiones de seguridad al transmitir datos mediante tnel a un encaminador de reenvo 6to4 .............................................................................................................................................. 246 Problemas comunes con un encaminador 6to4 ..................................................................... 246
10
Descripcin detallada de TCP/IP e IPv4 (referencia) ................................................................... 249 Novedades de TCP/IP e IPv4 ........................................................................................................... 249 Archivos de configuracin TCP/IP ................................................................................................. 249 Archivo /etc/hostname.interfaz ............................................................................................ 250 Archivo /etc/nodename ........................................................................................................... 251 Archivo /etc/defaultdomain ................................................................................................. 251 Archivo /etc/defaultrouter ................................................................................................. 251 Base de datos hosts ................................................................................................................... 251 Base de datos ipnodes ............................................................................................................... 255 Base de datos netmasks ............................................................................................................. 256 Daemon de servicios de Internet inetd .......................................................................................... 260 Bases de datos de red y el archivo nsswitch.conf ........................................................................ 260 Cmo afectan los servicios de nombres a las bases de datos de red ..................................... 261 Archivo nsswitch.conf ........................................................................................................... 263 Base de datos bootparams ......................................................................................................... 265 Base de datos ethers ................................................................................................................. 266 Otras bases de datos de red ....................................................................................................... 267 Base de datos protocols ........................................................................................................... 268 Base de datos services ............................................................................................................. 269 Protocolos de encaminamiento en el sistema operativo Solaris .................................................. 269 Protocolo Routing Information Protocol (RIP) ..................................................................... 270 Protocolo ICMP Router Discovery (RDISC) .......................................................................... 270 Clases de red ....................................................................................................................................... 270 Nmeros de red de clase A ........................................................................................................ 271 Nmeros de red de clase B ......................................................................................................... 271
9
Contenido
Nmeros de red de clase C ........................................................................................................ 272
11
IPv6 en profundidad (referencia) ...................................................................................................273 Novedades de IPv6 en profundidad ................................................................................................ 273 Formatos de direcciones IPv6 que no son los bsicos ................................................................... 274 Direcciones 6to4 derivadas ....................................................................................................... 274 Direcciones multidifusin IPv6 en profundidad ................................................................... 276 Formato del encabezado de los paquetes de IPv6 .......................................................................... 277 Encabezados de extensin de IPv6 ........................................................................................... 278 Protocolos de pila doble .................................................................................................................... 279 Implementacin de IPv6 en Solaris 10 ............................................................................................ 280 Archivos de configuracin de IPv6 .......................................................................................... 280 Comandos relacionados con IPv6 ........................................................................................... 285 Daemons relacionados con IPv6 .............................................................................................. 292 Protocolo ND de IPv6 ....................................................................................................................... 295 Mensajes de ICMP del protocolo ND ...................................................................................... 295 Proceso de configuracin automtica ..................................................................................... 296 Solicitud e inasequibilidad de vecinos ..................................................................................... 298 Algoritmo de deteccin de direcciones duplicadas ............................................................... 298 Anuncios de proxy ..................................................................................................................... 299 Equilibrio de la carga entrante .................................................................................................. 299 Cambio de direccin local de vnculo ...................................................................................... 299 Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4 ................ 300 Encaminamiento de IPv6 ................................................................................................................. 302 Anuncio de encaminador ......................................................................................................... 302 Tneles de IPv6 .................................................................................................................................. 303 Tneles configurados ................................................................................................................ 305 Tneles automticos 6to4 ......................................................................................................... 307 Extensiones de IPv6 para servicios de nombres de Solaris ........................................................... 312 Extensiones de DNS para IPv6 ................................................................................................. 312 Cambios en el archivo nsswitch.conf ................................................................................... 312 Cambios en los comandos de servicio de nombres ................................................................ 314 Admisin de NFS y RPC IPv6 .......................................................................................................... 314 Admisin de IPv6 en ATM ............................................................................................................... 314
10
Contenido
Parte III
DHCP ....................................................................................................................................................315
12
Solaris DHCP (descripcin general) ................................................................................................317 Acerca del protocolo DHCP ............................................................................................................. 317 Ventajas del uso de Solaris DHCP ................................................................................................... 318 Funcionamiento de DHCP ............................................................................................................... 319 Servidor Solaris DHCP ..................................................................................................................... 322 Administracin del servidor DHCP ........................................................................................ 323 Almacn de datos de DHCP ..................................................................................................... 323 Administrador de DHCP .......................................................................................................... 325 Utilidades de la lnea de comandos de DHCP ........................................................................ 326 Control de acceso basado en roles para los comandos DHCP .............................................. 327 Configuracin del servidor DHCP .......................................................................................... 327 Asignacin de direcciones IP .................................................................................................... 328 Informacin de configuracin de red ...................................................................................... 328 Opciones DHCP ......................................................................................................................... 329 Macros DHCP ............................................................................................................................ 329 Cliente de Solaris DHCP ................................................................................................................... 331
13
Planificacin del servicio DHCP (tareas) ........................................................................................ 333 Preparacin de la red para el servicio DHCP (mapa de tareas) .................................................... 333 Asignacin de topologa de red ................................................................................................ 334 Cmo determinar el nmero de servidores DHCP ............................................................... 335 Actualizacin de archivos de sistema y tablas de mscara de red ......................................... 336 Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) ...................... 338 Seleccin de un host para ejecutar el servicio DHCP ............................................................. 338 Seleccin del almacn de datos DHCP .................................................................................... 339 Configuracin de una directiva de permiso ............................................................................ 340 Cmo determinar los encaminadores para clientes DHCP .................................................. 341 Toma de decisiones para la administracin de direcciones IP (mapa de tareas) ....................... 341 Nmero y rangos de direcciones IP ......................................................................................... 342 Generacin de nombres de host de cliente ............................................................................. 342 Macros de configuracin de cliente predeterminadas ........................................................... 343 Tipos de permiso dinmico y permanente .............................................................................. 344 Tipos de permisos y direcciones IP reservadas ....................................................................... 344
11
Contenido
Planificacin de mltiples servidores DHCP ................................................................................. 345 Planificacin de la configuracin DHCP de las redes remotas .................................................... 346 Seleccin de la herramienta para configurar DHCP ..................................................................... 346 Funciones del Administrador de DHCP ................................................................................. 346 Funciones de dhcpconfig ......................................................................................................... 347 Comparacin del Administrador de DHCP y dhcpconfig .................................................. 347
14
Configuracin del servicio DHCP (tareas) ...................................................................................... 349 Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP .................................................................................................................................................. 349 Configuracin de servidores DHCP ........................................................................................ 350 Cmo configurar un servidor DHCP (Administrador de DHCP) ...................................... 353 Configuracin de los agentes de reenvo de BOOTP ............................................................. 354 Cmo configurar un agente de reenvo de BOOTP (Administrador de DHCP) ............... 354 Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP ........................... 355 Datos DHCP en un servidor desconfigurado ......................................................................... 356 Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (Administrador de DHCP) .................................................................................................................................... 357 Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig ........................................................................................................................................ 357 Cmo configurar un servidor DHCP (dhcpconfig -D) ....................................................... 358 Cmo configurar un agente de reenvo de BOOTP (dhcpconfig -R) ................................ 359 Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (dhcpconfig -U) ................................................................................................................................................ 359
15
Administracin de DHCP (tareas) ...................................................................................................361 Acerca del Administrador de DHCP ............................................................................................... 362 Ventana del Administrador de DHCP .................................................................................... 362 Mens del Administrador de DHCP ....................................................................................... 364 Cmo iniciar y detener el Administrador de DHCP ............................................................. 364 Cmo iniciar y detener el Administrador de DHCP ............................................................. 364 Configuracin del acceso de usuario a los comandos de DHCP .................................................. 365 Cmo conceder a los usuarios acceso a los comandos de DHCP ......................................... 365 Cmo iniciar y detener el servicio DHCP ....................................................................................... 366 Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP) .............................. 367 Cmo habilitar e inhabilitar el servicio DHCP (Administrador de DHCP) ....................... 367
12
Contenido
Cmo habilitar e inhabilitar el servicio DHCP (dhcpconfig -S) ........................................ 367 Servicio DHCP y Utilidad de gestin de servicios ......................................................................... 368 Modificacin de las opciones del servicio DHCP (mapa de tareas) ............................................ 369 Cmo cambiar las opciones de registro de DHCP ................................................................. 371 Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) .......... 373 Cmo generar mensajes de registro DHCP detallados (lnea de comandos) ..................... 373 Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) ......................................................................................................................................... 374 Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos) ..... 375 Cmo registrar transacciones DHCP en un archivo syslog independiente ...................... 375 Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP ........... 376 Cmo activar la actualizacin de DNS dinmica para los clientes DHCP .......................... 377 Registro de nombres de host de cliente ................................................................................... 378 Personalizacin de las opciones de rendimiento del servidor DHCP .................................. 379 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) ...... 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) .................. 381 Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas) ........................................... 382 Especificacin de interfaces de redes para la supervisin de DHCP .................................... 383 Cmo especificar interfaces de red para la supervisin de DHCP (Administrador de DHCP) ......................................................................................................................................... 384 Cmo especificar las interfaces de red para la supervisin de DHCP (dhcpconfig) ......... 384 Cmo agregar redes DHCP ...................................................................................................... 385 Como agregar una red DHCP (Administrador de DHCP) ................................................... 386 Cmo agregar una red DHCP (dhcpconfig) ......................................................................... 387 Modificacin de configuraciones de redes DHCP ................................................................. 387 Cmo modificar la configuracin de una red DHCP (Administrador de DHCP) ............. 388 Cmo modificar la configuracin de una red DHCP (dhtadm) ............................................ 389 Eliminacin de redes DHCP ..................................................................................................... 390 Cmo eliminar una red DHCP (Administrador de DHCP) ................................................. 391 Cmo eliminar una red DHCP (pntadm) ................................................................................ 391 Clientes BOOTP con el servicio DHCP (mapa de tareas) ............................................................ 392 Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP) ......................................................................................................................................... 393 Cmo configurar la compatibilidad de los clientes BOOTP registrados (Administrador de DHCP) ......................................................................................................................................... 394 Uso de direcciones IP en el servicio DHCP (mapa de tareas) ...................................................... 395 Cmo agregar direcciones IP al servicio DHCP ..................................................................... 399
13
Contenido
Cmo agregar una nica direccin IP (Administrador de DHCP) ..................................... 401 Cmo duplicar una direccin IP existente (Administrador de DHCP) .............................. 402 Cmo agregar varias direcciones IP (Administrador de DHCP) ......................................... 402 Cmo agregar direcciones IP (pntadm ) ................................................................................. 403 Modificacin de direcciones IP en el servicio DHCP ............................................................ 403 Cmo modificar las propiedades de direcciones IP (Administrador de DHCP) ............... 405 Cmo modificar las propiedades de direcciones IP (pntadm) .............................................. 405 Eliminacin de direcciones IP del servicio DHCP ................................................................. 406 Cmo marcar direcciones IP como inutilizables para el servicio DHCP ............................ 406 Cmo marcar direcciones IP como no utilizables (Administrador de DHCP) .................. 406 Cmo marcar direcciones IP como inutilizables (pntadm) ................................................... 407 Eliminacin de direcciones IP del servicio DHCP ................................................................. 407 Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP) ................. 408 Cmo eliminar direcciones IP del servicio DHCP (pntadm) ................................................ 409 Asignacin de una direccin IP reservada a un cliente DHCP ............................................. 409 Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP) ......................................................................................................................................... 410 Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm) ............................ 411 Uso de macros DHCP (mapa de tareas) ......................................................................................... 412 Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP) 413 Cmo ver las macros definidas en un servidor DHCP (dhtadm) .......................................... 414 Modificacin de macros DHCP ............................................................................................... 414 Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP) ......................................................................................................................................... 415 Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm) ........................ 416 Cmo agregar opciones a una macro DHCP (Administrador de DHCP) .......................... 416 Cmo agregar opciones a una macro DHCP (dhtadm) ......................................................... 417 Como eliminar opciones de una macro DHCP (Administrador de DHCP) ...................... 418 Como eliminar opciones de una macro DHCP (dhtadm) ..................................................... 418 Creacin de macros DHCP ....................................................................................................... 419 Cmo crear una macro DHCP (Administrador de DHCP) ................................................. 419 Cmo crear una macro DHCP (dhtadm ) ............................................................................... 420 Eliminacin de macros DHCP ................................................................................................. 421 Cmo eliminar una macro DHCP (Administrador de DHCP) ........................................... 421 Cmo eliminar una macro DHCP (dhtadm ) ......................................................................... 422 Uso de opciones DHCP (mapa de tareas) ....................................................................................... 422
14 Gua de administracin del sistema: servicios IP Octubre de 2009
Contenido
Creacin de opciones DHCP .................................................................................................... 425 Cmo crear opciones DHCP (Administrador de DHCP) .................................................... 426 Cmo crear opciones DHCP (dhtadm ) .................................................................................. 427 Modificacin de opciones DHCP ............................................................................................. 428 Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) ........... 428 Cmo modificar las propiedades de opciones DHCP ( dhtadm) ......................................... 429 Eliminacin de opciones DHCP .............................................................................................. 430 Cmo eliminar opciones DHCP (Administrador de DHCP) .............................................. 430 Cmo eliminar opciones DHCP (dhtadm ) ............................................................................ 431 Modificacin de la informacin de opcin del cliente Solaris DHCP ................................. 431 Instalacin en red de Solaris con el servicio DHCP ....................................................................... 431 Arranque remoto y clientes de arranque sin disco (mapa de tareas) ........................................... 432 Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) ................... 434 Conversin a un nuevo almacn de datos DHCP .......................................................................... 434 Cmo convertir el almacn de datos DHCP (Administrador de DHCP) ........................... 436 Cmo convertir el almacn de datos DHCP (dhcpconfig -C) ........................................... 437 Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) ................. 437 Cmo exportar datos de un servidor DHCP (Administrador de DHCP) ........................... 440 Cmo exportar datos de un servidor DHCP (dhcpconfig -X) ............................................ 440 Cmo importar datos en un servidor DHCP (Administrador de DHCP) .......................... 442 Cmo importar datos en un servidor DHCP (dhcpconfig -I) ........................................... 442 Cmo modificar datos de DHCP importados (Administrador de DHCP) ........................ 443 Cmo modificar datos DHCP importados ( pntadm, dhtadm) ............................................ 444
16
Configuracin y administracin del cliente DHCP ....................................................................... 445 Acerca del cliente DHCP de Solaris ................................................................................................. 445 Servidor DHCPv6 ...................................................................................................................... 446 Diferencias entre DHCPv4 y DHCPv6 .................................................................................... 446 El modelo administrativo .......................................................................................................... 446 Detalles del protocolo ................................................................................................................ 448 Interfaces lgicas ........................................................................................................................ 448 Negociacin de opciones ........................................................................................................... 449 Sintaxis de configuracin .......................................................................................................... 449 Inicio de cliente DHCP .............................................................................................................. 450 Comunicacin con DHCPv6 .................................................................................................... 450
15
Contenido
Cmo gestionan los protocolos del cliente DHCP la informacin de configuracin de red ................................................................................................................................................ 451 Cierre del cliente DHCP ............................................................................................................ 453 Activacin y desactivacin de un cliente DHCP de Solaris .......................................................... 453 Cmo activar el cliente DHCP de Solaris ................................................................................ 453 Cmo desactivar un cliente DHCP de Solaris ........................................................................ 454 Administracin del cliente DHCP ................................................................................................... 455 Opciones del comando ifconfig que se utilizan con el cliente DHCP .............................. 455 Asignacin de los parmetros de configuracin del cliente DHCP ..................................... 456 Sistemas cliente DHCP con varias interfaces de red ..................................................................... 457 Nombres de host de cliente DHCPv4 .............................................................................................. 458 Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico ..................................................................................................................................... 459 Sistemas cliente DHCP y servicios de nombres ............................................................................. 459 Configuracin de clientes DHCP como clientes NIS+ .......................................................... 461 Secuencias de eventos de cliente DHCP ......................................................................................... 464
17
Solucin de problemas de DHCP (referencia) ............................................................................... 469 Solucin de problemas del servidor DHCP .................................................................................... 469 Problemas de NIS+ y el almacn de datos DHCP .................................................................. 469 Errores de asignacin de direccin IP en DHCP .................................................................... 473 Solucin de problemas de configuracin del cliente DHCP ........................................................ 475 Problemas de comunicacin con el servidor DHCP .............................................................. 476 Problemas por informacin de configuracin DHCP incorrecta ........................................ 485 Problemas con el nombre de host proporcionado por el cliente DHCP ............................. 486
18
Comandos y archivos DHCP (referencia) ....................................................................................... 489 Comandos DHCP ............................................................................................................................. 489 Ejecucin de comandos DHCP en secuencias ........................................................................ 490 Archivos que utiliza el servicio DHCP ............................................................................................ 497 Informacin de opciones DHCP ..................................................................................................... 499 Cmo determinar si su sitio se ve afectado ............................................................................. 499 Diferencias entre los archivos dhcptags y inittab ............................................................... 500 Conversin de entradas de dhcptags en entradas de inittab ............................................. 501
16
Contenido
Parte IV
Seguridad IP .......................................................................................................................................503
19
Arquitectura de seguridad IP (descripcin general) ................................................................... 505 Novedades de IPsec ........................................................................................................................... 505 Introduccin a IPsec .......................................................................................................................... 507 RFC IPsec .................................................................................................................................... 508 Terminologa de IPsec ............................................................................................................... 508 Flujo de paquetes IPsec ..................................................................................................................... 509 Asociaciones de seguridad IPsec ...................................................................................................... 512 Administracin de claves en IPsec ........................................................................................... 512 Mecanismos de proteccin de IPsec ................................................................................................ 513 Encabezado de autenticacin ................................................................................................... 514 Carga de seguridad encapsuladora .......................................................................................... 514 Algoritmos de autenticacin y cifrado en IPsec ..................................................................... 515 Directivas de proteccin IPsec ......................................................................................................... 517 Modos de transporte y tnel en IPsec .............................................................................................. 517 Redes privadas virtuales e IPsec ....................................................................................................... 519 Paso a travs de IPsec y NAT ............................................................................................................ 520 IPsec y SCTP ....................................................................................................................................... 521 IPsec y Zonas de Solaris .................................................................................................................... 522 IPsec y dominios lgicos ................................................................................................................... 522 Archivos y utilidades IPsec ............................................................................................................... 522 Cambios en IPsec para la versin Solaris 10 ................................................................................... 524
20
Configuracin de IPsec (tareas) .......................................................................................................527 Proteccin del trfico con IPsec (mapa de tareas) ......................................................................... 527 Proteccin del trfico con IPsec ....................................................................................................... 528 Cmo proteger el trfico entre dos sistemas con IPsec .......................................................... 529 Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet ........................................................................................................................................ 533 Cmo visualizar las directivas de IPsec ................................................................................... 537 Cmo generar nmeros aleatorios en un sistema Solaris ..................................................... 537 Cmo crear manualmente asociaciones de seguridad IPsec ................................................ 539 Cmo verificar que los paquetes estn protegidos con IPsec ................................................ 544 Cmo configurar una funcin para la seguridad de la red .................................................... 545
17
Contenido
Cmo administrar servicios de IPsec e IKE ............................................................................ 547 Proteccin de una VPN con IPsec ................................................................................................... 549 Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel ............................................................................................................................................. 549 Proteccin de una VPN con IPsec (mapa de tareas) ...................................................................... 551 Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec ............................................................................................................................................. 552 Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 ..................... 554 Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 ..................... 564 Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 ............ 570 Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 ............ 577 Cmo evitar la falsificacin de la IP ......................................................................................... 583
21
Arquitectura de seguridad IP (referencia) .................................................................................... 587 Utilidad de gestin de servicios de IPsec ......................................................................................... 587 Comando ipsecconf ........................................................................................................................ 588 Archivo ipsecinit.conf ................................................................................................................. 589 Archivo ipsecinit.conf de ejemplo ...................................................................................... 589 Consideraciones de seguridad para ipsecinit.conf e ipsecconf .................................... 590 Comando ipsecalgs ........................................................................................................................ 590 Base de datos de asociaciones de seguridad para IPsec ................................................................. 591 Utilidades para la generacin de claves en IPsec ............................................................................ 591 Consideraciones de seguridad para ipseckey ....................................................................... 592 Extensiones IPsec para otras utilidades .......................................................................................... 593 Comando ifconfig e IPsec ...................................................................................................... 593 Comando snoop e IPsec ............................................................................................................ 594
22
Intercambio de claves de Internet (descripcin general) ........................................................... 597 Novedades de IKE ............................................................................................................................. 597 Administracin de claves con IKE ................................................................................................... 598 Negociacin de claves IKE ................................................................................................................ 598 Terminologa de claves IKE ...................................................................................................... 598 Intercambio de IKE de fase 1 .................................................................................................... 599 Intercambio de IKE de fase 2 .................................................................................................... 600 Opciones de configuracin de IKE .................................................................................................. 600
18
Contenido
IKE con claves previamente compartidas ............................................................................... 600 IKE con certificados de claves pblicas ................................................................................... 601 IKE y aceleracin de hardware ......................................................................................................... 602 IKE y almacenamiento de hardware ............................................................................................... 602 Archivos y utilidades IKE ................................................................................................................. 602 Cambios de IKE en Solaris 10 .......................................................................................................... 604
23
Configuracin de IKE (tareas) ..........................................................................................................605 Configuracin de IKE (mapa de tareas) .......................................................................................... 605 Configuracin de IKE con claves previamente compartidas (mapa de tareas) .......................... 606 Configuracin de IKE con claves previamente compartidas ....................................................... 607 Cmo configurar IKE con claves previamente compartidas ................................................ 607 Cmo actualizar las claves IKE previamente compartidas ................................................... 610 Cmo ver las claves IKE previamente compartidas ............................................................... 612 Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf ................................................................................................................... 613 Verificacin de que las claves IKE previamente compartidas sean idnticas ..................... 617 Configuracin de IKE con certificados de clave pblica (mapa de tareas) ................................. 618 Configuracin de IKE con certificados de clave pblica ............................................................... 619 Cmo configurar IKE con certificados de clave pblica autofirmados ............................... 619 Cmo configurar IKE con certificados firmados por una autoridad de certificacin ....... 626 Cmo generar y almacenar certificados de clave pblica en el hardware ........................... 631 Cmo administrar una lista de revocacin de certificados ................................................... 635 Configuracin de IKE para sistemas porttiles (mapa de tareas) ................................................ 638 Configuracin de IKE para sistemas porttiles .............................................................................. 638 Cmo configurar IKE para sistemas remotos ......................................................................... 638 Configuracin de IKE para buscar el hardware conectado (mapa de tareas) ............................. 646 Configuracin de IKE para buscar el hardware conectado .......................................................... 647 Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000 ..................... 647 Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 ..................... 648 Cambio de los parmetros de transmisin de IKE (mapa de tareas) ........................................... 650 Cambio de los parmetros de transmisin de IKE ........................................................................ 650 Cmo cambiar la duracin de la negociacin de claves IKE de fase 1 ................................. 650
19
Contenido
24
Intercambio de claves de Internet (referencia) ............................................................................ 653 Utilidad de gestin de servicios de IKE ........................................................................................... 653 Daemon IKE ...................................................................................................................................... 654 Archivo de directiva IKE .................................................................................................................. 654 Comando de administracin de IKE ............................................................................................... 655 Archivos de claves IKE previamente compartidas ........................................................................ 656 Comandos y bases de datos de claves pblicas IKE ....................................................................... 656 Comando ikecert tokens ...................................................................................................... 657 Comando ikecert certlocal ................................................................................................ 657 Comando ikecert certdb ...................................................................................................... 658 Comando ikecert certrldb .................................................................................................. 659 Directorio /etc/inet/ike/publickeys ............................................................................... 659 Directorio /etc/inet/secret/ike.privatekeys .............................................................. 659 Directorio /etc/inet/ike/crls ............................................................................................ 660
25
Filtro IP de Solaris (descripcin general) ....................................................................................... 661 Novedades del filtro IP de Solaris .................................................................................................... 661 Enlaces de filtros de paquetes ................................................................................................... 661 Filtros de paquetes IPv6 para el filtro IP de Solaris ................................................................ 662 Introduccin al filtro IP de Solaris ................................................................................................... 662 Fuentes de informacin para el filtro IP de cdigo abierto ................................................... 663 Procesamiento de paquetes del filtro IP de Solaris ........................................................................ 663 Directrices para utilizar el filtro IP de Solaris ................................................................................. 666 Uso de los archivos de configuracin del filtro IP de Solaris ........................................................ 666 Conjuntos de reglas del filtro IP de Solaris ..................................................................................... 667 Uso de la funcin de filtros de paquetes del filtro IP de Solaris ............................................ 667 Uso de la funcin NAT del filtro IP de Solaris ........................................................................ 670 Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris ........................... 671 Enlaces de filtros de paquetes ........................................................................................................... 673 El filtro IP de Solaris y el mdulo pfil STREAMS ........................................................................ 673 IPv6 para el filtro IP de Solaris ......................................................................................................... 674 Pginas del comando man del filtro IP de Solaris .......................................................................... 675
26
Filtro IP de Solaris (tareas) ............................................................................................................... 677 Configuracin del filtro IP de Solaris .............................................................................................. 677
20
Contenido
Cmo activar el filtro IP de Solaris ........................................................................................... 678 Cmo volver a activar el filtro IP de Solaris ............................................................................ 679 Cmo activar los filtros en bucle .............................................................................................. 680 Cmo desactivar el filtro IP de Solaris ............................................................................................ 681 Cmo desactivar los filtros de paquetes .................................................................................. 682 Cmo desactivar NAT ............................................................................................................... 683 Cmo desactivar los filtros de paquetes .................................................................................. 683 Mdulo pfil ...................................................................................................................................... 684 Cmo activar el filtro IP de Solaris en versiones anteriores de Solaris 10 ........................... 684 Cmo activar una NIC para los filtros de paquetes ................................................................ 687 Cmo desactivar el filtro IP de Solaris en una NIC ................................................................ 689 Cmo visualizar las estadsticas de pfil para el filtro IP de Solaris ..................................... 690 Conjuntos de reglas del filtro IP de Solaris ..................................................................................... 691 Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris .. 693 Administracin de reglas NAT para el filtro IP de Solaris ..................................................... 700 Administracin de agrupaciones de direcciones para el filtro IP de Solaris ....................... 702 Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris ................................ 704 Cmo ver las tablas de estado para el filtro IP de Solaris ....................................................... 704 Cmo visualizar las estadsticas de estado para el filtro IP de Solaris .................................. 705 Cmo visualizar las estadsticas de NAT para el filtro IP de Solaris ..................................... 706 Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Solaris .......................................................................................................................................... 707 Archivos de registro para el filtro IP de Solaris .............................................................................. 707 Cmo configurar un archivo de registro para el filtro IP de Solaris ..................................... 708 Cmo visualizar los archivos de registro del filtro IP de Solaris ........................................... 709 Cmo vaciar el archivo de registro de paquetes ..................................................................... 710 Cmo guardar paquetes registrados en un archivo ............................................................... 711 Creacin y edicin de archivos de configuracin del filtro IP de Solaris .................................... 712 Cmo crear un archivo de configuracin para el filtro IP de Solaris ................................... 712 Ejemplos de archivos de configuracin del filtro IP de Solaris ............................................. 713
Parte V
IP mvil ................................................................................................................................................719
27
IP para mviles (Descripcin general) ........................................................................................... 721 Novedades de IP para mviles ......................................................................................................... 721
21
Contenido
Introduccin a IP para mviles ........................................................................................................ 722 Entidades funcionales de IP para mviles ...................................................................................... 724 Funcionamiento de IP para mviles ................................................................................................ 724 Descubrimiento de agentes .............................................................................................................. 727 Anuncio de agente ..................................................................................................................... 727 Solciitud de agente ..................................................................................................................... 728 Direcciones de auxilio ....................................................................................................................... 728 IP para mviles con tnel inverso .................................................................................................... 729 Admisin limitada de direcciones privadas ............................................................................ 729 Registro de IP para mviles .............................................................................................................. 731 Identificador de acceso de red (NAI) ....................................................................................... 733 Autenticacin mediante mensaje de IP para mviles ............................................................ 733 Solicitud de registro del nodo mvil ........................................................................................ 733 Mensaje de respuesta de registro .............................................................................................. 734 Consideraciones del agente externo ........................................................................................ 734 Consideraciones del agente interno ......................................................................................... 734 Descubrimiento dinmico de agente interno ......................................................................... 735 Encaminamiento de datagramas entre nodos mviles ................................................................. 735 Mtodos de encapsulado ........................................................................................................... 735 Encaminamiento de datagramas de unidifusin ................................................................... 735 Datagramas de multidifusin ................................................................................................... 736 Encaminamiento de datagramas de multidifusin ................................................................ 736 Consideraciones de seguridad para IP para mviles ..................................................................... 737 Uso de IPsec con IP para mviles ............................................................................................. 738
28
Administracin de IP mvil (tareas) ............................................................................................... 739 Creacin del archivo de configuracin de IP mvil (mapa de tareas) ......................................... 740 Creacin del archivo de configuracin de IP mvil ...................................................................... 740 Cmo planificar para IP mvil ................................................................................................. 740 Creacin del archivo de configuracin de IP mvil ............................................................... 741 Cmo configurar la seccin General ....................................................................................... 742 Cmo configurar la seccin Advertisements ........................................................................ 742 Cmo configurar la seccin GlobalSecurityParameters ................................................... 743 Cmo configurar la seccin Pool ............................................................................................. 743 Cmo configurar la seccin SPI ............................................................................................... 743
22
Contenido
Cmo configurar la seccin Address ....................................................................................... 744 Modificacin del archivo de configuracin de IP mvil (mapa de tareas) ................................. 745 Modificacin del archivo de configuracin de IP mvil ............................................................... 746 Cmo modificar la seccin General ........................................................................................ 746 Cmo modificar la seccin Advertisements ......................................................................... 747 Cmo modificar la seccin GlobalSecurityParameters .................................................... 747 Cmo modificar la seccin Pool .............................................................................................. 748 Cmo modificar la seccin SPI ................................................................................................ 748 Cmo modificar la seccin Address ........................................................................................ 749 Cmo agregar o eliminar parmetros del archivo de configuracin ................................... 750 Cmo mostrar los valores actuales de los parmetros del archivo de configuracin ......... 751 Presentacin del estado del agente de movilidad ........................................................................... 753 Cmo mostrar el estado del agente de movilidad .................................................................. 753 Presentacin de las rutas de movilidad de un agente externo ...................................................... 754 Cmo mostrar las rutas de movilidad de un agente externo ................................................. 755
29
Archivos y comandos de IP para mviles (referencia) ................................................................. 757 Descripcin general de la implementacin de IP para mviles en Solaris .................................. 757 Archivo de configuracin de IP para mviles ................................................................................ 758 Formato del archivo de configuracin .................................................................................... 759 Ejemplos de archivos de configuracin ................................................................................... 759 Secciones y etiquetas del archivo de configuracin ............................................................... 763 Configuracin del agente de movilidad IP ..................................................................................... 772 Estado de un agente de movilidad de IP para mviles .................................................................. 773 Informacin de estado de IP para mviles ..................................................................................... 774 Extensiones de netstat para IP para mviles ............................................................................... 774 Extensiones snoop de IP para mviles ............................................................................................ 775
Parte VI
IPMP .....................................................................................................................................................777
30
Introduccin a IPMP (descripcin general) ................................................................................... 779 Por qu debe utilizar IPMP .............................................................................................................. 779 Componentes IPMP de Solaris ................................................................................................ 780 Terminologa y conceptos de IPMP ........................................................................................ 781
23
Contenido
Requisitos bsicos de IPMP .............................................................................................................. 783 Direcciones IPMP ............................................................................................................................. 784 Direcciones de datos .................................................................................................................. 784 Direcciones de prueba ............................................................................................................... 784 Cmo evitar que las aplicaciones utilicen direcciones de prueba ........................................ 786 Configuraciones de interfaces IPMP ............................................................................................... 786 Interfaces de reserva en un grupo IPMP ................................................................................. 787 Configuraciones comunes de interfaces IPMP ...................................................................... 787 Funciones de deteccin de fallos IPMP y recuperacin ................................................................ 788 Deteccin de fallos basada en vnculos .................................................................................... 788 Deteccin de fallos basada en sondeos .................................................................................... 789 Fallos de grupo ........................................................................................................................... 790 Deteccin de reparaciones de interfaces fsicas ...................................................................... 790 Qu ocurre durante la conmutacin por error de la interfaz ................................................ 791 IPMP y reconfiguracin dinmica .................................................................................................. 792 Conexin de NIC ....................................................................................................................... 793 Desconexin de NIC .................................................................................................................. 794 Reconexin de NIC .................................................................................................................... 794 NIC que no estaban presentes durante el arranque del sistema ........................................... 795
31
Administracin de IPMP (tareas) ....................................................................................................797 Configuracin de IPMP (mapas de tareas) ..................................................................................... 797 Configuracin y administracin de grupos IPMP (mapa de tareas) ................................... 797 Administracin de IPMP en interfaces que admiten reconfiguracin dinmica (mapa de tareas) .......................................................................................................................................... 798 Configuracin de grupos IPMP ....................................................................................................... 799 Planificacin de un grupo IPMP .............................................................................................. 799 Configuracin de grupos IPMP ............................................................................................... 801 Configuracin de grupos IPMP con una nica interfaz fsica .............................................. 810 Mantenimiento de grupos IPMP ..................................................................................................... 811 Cmo mostrar la pertenencia de una interfaz a un grupo IPMP ......................................... 811 Cmo agregar una interfaz a un grupo IPMP ......................................................................... 812 Cmo eliminar una interfaz de un grupo IPMP ..................................................................... 813 Cmo mover una interfaz de un grupo IPMP a otro grupo .................................................. 814 Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica 814
24
Contenido
Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR) ............................. 815 Como sustituir una interfaz fsica que ha fallado (conexin en DR) ................................... 816 Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema .. 816 Cmo recuperar una interfaz fsica que no est presente al arrancar el sistema ................ 817 Modificacin de configuraciones IPMP ......................................................................................... 819 Cmo configurar el archivo /etc/default/mpathd ............................................................. 819
Parte VII
Calidad de servicio IP (IPQoS) ......................................................................................................... 821
32
Introduccin a IPQoS (Descripcin general) ................................................................................. 823 Conceptos bsicos de IPQoS ............................................................................................................ 823 Qu son los servicios diferenciados? ...................................................................................... 823 Funciones de IPQoS ................................................................................................................... 824 Dnde obtener ms informacin sobre la teora y prctica de la calidad del serivicio ...... 824 Proporcionar calidad de servicio con IPQoS ................................................................................. 826 Utilizacin de acuerdos de nivel de servicio ........................................................................... 826 Garantizar la calidad de servicio para una organizacin especfica ..................................... 826 Introduccin a la directiva de calidad de servicio .................................................................. 826 Mejorar la eficacia de la red con IPQoS ........................................................................................... 827 Cmo afecta el ancho de banda al trfico de red .................................................................... 827 Utilizacin de clases de servicio para priorizar el trfico ....................................................... 828 Modelo de servicios diferenciados .................................................................................................. 829 Descripcin general del clasificador (ipgpc) ......................................................................... 829 Descripcin general de medidor (tokenmt y tswtclmt) ...................................................... 830 Descripcin general de marcadores (dscpmk y dlcosmk) ...................................................... 831 Descripcin general del control de flujo (flowacct) ............................................................. 831 Cmo fluye el trfico a travs de los mdulso IPQoS ............................................................ 832 Reenvo del trfico en una red con IPQoS ...................................................................................... 834 Punto de cdigo DS ................................................................................................................... 834 Comportamientos por salto ...................................................................................................... 834
33
Planificacin para una red con IPQoS (Tareas) ............................................................................. 839 Planificacin de configuracin IPQoS general (Mapa de tareas) ................................................ 839 Planificacin de la distribucin de la red Diffserv ......................................................................... 840
25
Contenido
Estrategias de hardware para la red Diffserv ........................................................................... 840 Distribuciones de red IPQoS .................................................................................................... 841 Planificacin de la directiva de calidad de servicio ........................................................................ 843 Ayudas para planificar la directiva QoS ................................................................................... 843 Planificacin de la directiva QoS (Mapa de tareas) ................................................................ 844 Cmo preparar una red para IPQoS ........................................................................................ 845 Cmo definir las clases de la directiva QoS ............................................................................. 846 Definir filtros .............................................................................................................................. 848 Cmo definir filtros en la directiva QoS .................................................................................. 849 Cmo planificar el control de flujo .......................................................................................... 850 Cmo planificar el comportamiento de reenvo .................................................................... 853 Cmo planificar la recopilacin de datos de flujo .................................................................. 855 Introduccin al ejemplo de configuracin IPQoS ......................................................................... 856 Distribucin IPQoS ................................................................................................................... 856
34
Creacin del archivo de configuracin IPQoS (Tareas) ................................................................ 859 Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) ........ 859 Herramientas para crear una directiva QoS ................................................................................... 861 Archivo de configuracin IPQoS bsico ................................................................................. 861 Crear archivos de configuracin IPQoS para servidores web ...................................................... 862 Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico .................... 864 Cmo definir filtros en el archivo de configuracin IPQoS .................................................. 867 Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS .......................... 868 Cmo activar el control para una clase en el archivo de configuracin IPQoS .................. 871 Cmo crear un archivo de configuracin IPQoS para un servidor Web "Best-Effort" ..... 873 Crear un archivo de configuracin IPQoS para un servidor de aplicaciones ............................. 876 Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones ......... 878 Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS .......................................................................................................................................... 881 Cmo configurar el control de flujo en el archivo de configuracin IPQoS ....................... 883 Proporcionar servicios diferenciados en un encaminador ........................................................... 886 Cmo configurar un encaminador en una red con IPQoS ................................................... 887
35
Inicio y mantenimiento de IPQoS (Tareas) .................................................................................... 889 Administracin IPQoS (Mapa de tareas) ....................................................................................... 889
26
Contenido
Aplicacin de una configuracin IPQoS ......................................................................................... 890 Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS ............................ 890 Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia ............... 891 Activacin del registro syslog para mensajes IPQoS ................................................................... 891 Cmo activar el registro de mensajes IPQoS durante el inicio ............................................. 891 Resolucin de problemas con mensajes de error IPQoS .............................................................. 892
36
Uso de control de flujo y recopilacin de estadsticas (Tareas) ..................................................897 Establecimiento del control de flujo (Mapa de tareas) .................................................................. 897 Registro de informacin sobre flujos de trfico ............................................................................. 897 Cmo crear un archivo para datos de control de flujo ........................................................... 898 Recopilacin de estadsticas ............................................................................................................. 900
37
IPQoS detallado (Referencia) ..........................................................................................................903 Arquitectura IPQoS y el modelo Diffserv ....................................................................................... 903 Mdulo Classifier ....................................................................................................................... 903 Mdulo Meter ............................................................................................................................. 906 Mdulo marcador ...................................................................................................................... 909 Mdulo flowacct ...................................................................................................................... 913 Archivo de configuracin IPQoS ..................................................................................................... 916 Instruccin action .................................................................................................................... 917 Definiciones de mdulo ............................................................................................................ 918 Clusula class ........................................................................................................................... 919 Clusula filter ......................................................................................................................... 919 Clusula params ......................................................................................................................... 920 Herramienta de configuracin ipqosconf ..................................................................................... 920
Glosario .............................................................................................................................................. 921
ndice .................................................................................................................................................. 933
27
28
Prefacio
La Gua de administracin del sistema: servicios IP forma parte de un conjunto de nueve volmenes que tratan de manera exhaustiva la administracin de sistemas Solaris. TM El presente manual da por supuesto que est instalado el sistema operativo Solaris 10. La red debe estar configurada o preparada para poder integrar cualquier software de red que se necesite. El sistema operativo Solaris 10 pertenece a la gama de productos de Solaris, en la que tambin se encuentra CDE (Common Desktop Environment). El sistema operativo Solaris es compatible con el sistema operativo System V, versin 4 de AT&T.
Nota Esta versin de SolarisTM es compatible con sistemas que usen arquitecturas de las familias
de procesadores SPARC y x86. Los sistemas compatibles aparecen en Solaris OS: Hardware Compatibility Lists (Http://www.sun.com/bigadmin/hcl). Este documento indica las diferencias de implementacin entre los tipos de plataforma. En este documento, estos trminos relacionados con x86 significan lo siguiente:

x86 hace referencia a la familia ms grande de productos compatibles con 64 y 32 bits. "x64" hace referencia especficamente a CPU compatibles x86 de 64 bits. x86 de 32 bits destaca informacin especfica de 32 bits acerca de sistemas basados en x86.
Para conocer cules son los sistemas admitidos, consulte las Listas de compatibilidad del sistema operativo Solaris.
Quin debe utilizar este manual

Este manual est destinado a las personas encargadas de administrar sistemas que ejecutan el sistema operativo Solaris configurado en red. Para utilizar este manual, se debe tener como mnimo dos aos de experiencia en la administracin de sistemas UNIX . Puede resultar til participar en cursos de formacin para administracin de sistemas UNIX.
29
Prefacio
Organizacin de las guas de administracin del sistema

A continuacin se enumeran los temas que abarcan las guas de administracin del sistema.
Ttulo de manual Temas
System Administration Guide: Basic Administration
Grupos y cuentas de usuario, asistencia para clientes y servidores, cierre y arranque de un sistema, administracin de servicios y administracin de software (paquetes y parches) Terminales y mdems, recursos del sistema (cuotas de disco, cuentas y archivos crontab), procesos del sistema y resolucin de problemas de software de Solaris Soportes extrables, discos y dispositivos, sistemas de archivos y copia de seguridad y restauracin de datos Administracin de redes TCP/IP, administracin de direcciones IPv4 e IPv6, DHCP, IPsec, IKE, filtro IP de Solaris, IP para mviles, multirruta IP de Solaris (IPMP) e IPQoS Servicios de directorios y nombres DNS, NIS y LDAP, incluida la transicin de NIS a LDAP y de NIS+ a LDAP Servicios de directorios y nombres NIS+ Servidores de cach Web, servicios relacionados con el tiempo, sistemas de archivos de red (NFS y Autofs), correo, SLP y PPP Auditora, administracin de dispositivos, seguridad de archivos, BART, servicios Kerberos, PAM, estructura criptogrfica de Solaris, privilegios, RBAC, SASL y Solaris Secure Shell Tareas y proyectos de temas de administracin de recursos, contabilidad extendida, controles de recursos, planificacin por reparto equitativo (FSS), control de memoria fsica utilizando el daemon de limitacin de recursos (rcapd) y agrupaciones de recursos; virtualizacin con la tecnologa de particin de software Zonas de Solaris y zonas con la marca lx Creacin y administracin de sistemas de archivos y agrupaciones de almacenamiento ZFS, instantneas, clones, copias de seguridad, uso de listas de control de acceso (ACL) para proteger archivos ZFS, uso de Solaris ZFS en un sistema Solaris con zonas instaladas, volmenes emulados y resolucin de problemas y recuperacin de datos Administracin de sistemas especfica de un sistema Solaris Trusted Extensions
System Administration Guide: Advanced Administration
System Administration Guide: Devices and File Systems Gua de administracin del sistema: servicios IP
System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) System Administration Guide: Naming and Directory Services (NIS+) System Administration Guide: Network Services System Administration Guide: Security Services
Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris
Gua de administracin de Solaris ZFS
Solaris Trusted Extensions Administrators Procedures
30
Prefacio
Ttulo de manual
Temas
Solaris Trusted Extensions Configuration Guide
A partir de la versin Solaris 10 5/08, se explica la forma de planificar, habilitar y configurar inicialmente Solaris Trusted Extensions Tareas y temas de impresin de Solaris, el uso de servicios, herramientas, protocolos y tecnologas para configurar y administrar las impresoras y los servicios de impresin
System Administration Guide: Solaris Printing
Manuales relacionados
En el presente manual se hace referencia a las siguientes obras.

Stevens, W. Richard. TCP/IP Illustrated, Volume 1, The Protocols. Addison Wesley, 1994. Hunt Craig.TCP/IP Network Administration, 3rd Edition. O'Reilly, 2002. Perkins, Charles E. Mobile IP Design Principles and Practices . Massachusetts, 1998, Addison-Wesley Publishing Company. Solomon, James D. Mobile IP: The Internet Unplugged. New Jersey, 1998, Prentice-Hall, Inc. Ferguson, Paul y Geoff Huston. Quality of Service. John Wiley & Sons, Inc., 1998. Kilkki, Kalevi. Differentiated Services for the Internet. Macmillan Technical Publishing, 1999.
Referencias relacionadas con el sitio web de otras empresas

Se hace referencia a direcciones URL de terceras partes para proporcionar informacin adicional relacionada.
Nota Sun no se responsabiliza de la disponibilidad de las pginas web de otras empresas que se mencionan en este documento. Sun no garantiza ni se hace responsable de los contenidos, la publicidad, los productos u otros materiales que puedan estar disponibles a travs de dichos sitios o recursos. Sun no ser responsable de daos o prdidas, supuestos o reales, provocados por o a travs del uso o confianza del contenido, bienes o servicios disponibles en dichos sitios o recursos, o a travs de ellos.
El filtro IP de Solaris se deriva de software de filtro IP de cdigo abierto. Para consultar los trminos de la licencia y declaraciones de copyright de filtro IP, la ruta predeterminada es /usr/lib/ipf/IPFILTER.LICENCE. Si se ha instalado el sistema operativo Solaris en una ubicacin que no sea la predeterminada, modifique la ruta para acceder al archivo en la ubicacin correcta.
31
Prefacio
Documentacin, asistencia y formacin

El sitio web de Sun proporciona informacin acerca de los siguientes recursos adicionales:

Documentation (http://www.sun.com/documentation/) Support (http://www.sun.com/support/) Training (http://www.sun.com/training/)
Sun valora sus comentarios

Sun tiene inters en mejorar su documentacin y valora sus comentarios y sugerencias. Para compartir sus comentarios, vaya a http://docs.sun.com y haga clic en Feedback.
Convenciones tipogrficas
La siguiente tabla describe las convenciones tipogrficas utilizadas en este manual.
TABLA P1
Convenciones tipogrficas
Significado Ejemplo
Tipos de letra
AaBbCc123
Los nombres de los comandos, los archivos, los directorios y los resultados que el equipo muestra en pantalla.
Edite el archivo .login. Utilice el comando ls -a para mostrar todos los archivos. nombre_sistema% tiene correo.
AaBbCc123
Lo que se escribe, en contraposicin con la salida nombre_sistema% su del equipo en pantalla Contrasea: Marcador de posicin: sustituir por un valor o nombre real Ttulos de los manuales, trminos nuevos y palabras destacables El comando necesario para eliminar un archivo es rm nombrearchivo. Consulte el captulo 6 de la Gua del usuario. Una copia en cach es aquella que se almacena localmente. No guarde el archivo. Nota: algunos elementos destacados aparecen en negrita en lnea.
aabbcc123 AaBbCc123
32
Prefacio
Indicadores de los shells en los ejemplos de comandos

La tabla siguiente muestra los indicadores predeterminados del sistema y de superusuario de UNIX para los shells Bourne, Korn y C.
TABLA P2 Shell
Indicadores de shell
Indicador
Shell C Shell C para superusuario Shell Bourne y shell Korn Shell Bourne y shell Korn para superusuario
nombre_sistema% nombre_sistema# $ #
33
34
P A R T E
Introduccin a la administracin del sistema: servicios IP

Esta seccin introduce el conjunto de protocolos TCP/IP y su implementacin en el sistema operativo Solaris (Solaris OS).
35
36
C A P T U L O
Conjunto de protocolos TCP/IP de Solaris (descripcin general)
Este captulo introduce la implementacin en Solaris del conjunto de protocolos de red TCP/IP. Esta informacin se dirige a los administradores de sistemas y redes que no estn familiarizados con los conceptos bsicos de TCP/IP. En las dems secciones de esta gua se presupone que el usuario est familiarizado con estos conceptos. Este captulo contiene la informacin siguiente:

Introduccin al conjunto de protocolos TCP/IP en la pgina 37 Cmo manejan las comunicaciones de datos los protocolos TCP/IP en la pgina 45 Informacin adicional sobre TCP/IP e Internet en la pgina 49
Novedades de esta versin

A partir de Solaris 10 5/08, se ha eliminado la funcin de IP para mviles. IP para mviles est disponible en sistema operativo Solaris 10 8/07 y en las versiones anteriores.
Introduccin al conjunto de protocolos TCP/IP

Esta seccin incluye una introduccin detallada a los protocolos que se incluyen en TCP/IP. Aunque la informacin es conceptual, debe conocer los nombres de los protocolos. Tambin aprender las acciones que lleva a cabo cada protocolo. "TCP/IP" es el acrnimo que se utiliza comnmente para el conjunto de protocolos de red que componen el conjunto de protocolos de Internet. Muchos textos utilizan el trmino "Internet" para describir tanto el conjunto de protocolos como la red de rea global. En este manual, "TCP/IP" hace referencia especficamente al conjunto de protocolos de Internet. "Internet" hace referencia a la red de rea extensa y los elementos que rigen Internet. Para interconectar la red TCP/IP con otras redes, debe obtener una direccin IP nica para la red. En el momento en que se redacta esta gua, esta direccin se obtiene a travs de un proveedor de servicios de Internet (ISP).
37
Si los hosts de la red tienen que participar en el sistema de nombre de dominio (DNS), debe obtener y registrar un nombre de dominio nico. InterNIC coordina el registro de nombres de dominio a travs de un grupo de registros mundiales. Para obtener ms informacin acerca de DNS, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Capas de protocolo y el modelo de Interconexin de Sistemas Abiertos

La mayora de los conjuntos de protocolos de red se estructuran como series de capas, que en ocasiones se denominan pila de protocolos. Cada capa est diseada para una finalidad especfica. Cada capa existe tanto en los sistemas de envo como en los de recepcin. Una capa especfica de un sistema enva o recibe exactamente el mismo objeto que enva o recibe el proceso equivalente de otro sistema. Estas actividades tienen lugar independientemente de las actividades de las capas por encima o por debajo de la capa que se est considerando. Bsicamente, cada capa de un sistema acta independientemente de las dems capas del mismo sistema. Cada capa acta en paralelo con la misma capa en otros sistemas.
Modelo de referencia OSI

La mayora de los conjuntos de protocolos de red se estructuran en capas. La Organizacin Internacional para la Estandarizacin (ISO) ha diseado el modelo de referencia de Interconexin de Sistemas Abiertos (OSI) que utiliza capas estructuradas. El modelo OSI describe una estructura con siete capas para las actividades de red. Cada capa tiene asociados uno o ms protocolos. Las capas representan las operaciones de transferencia de datos comunes a todos los tipos de transferencias de datos entre las redes de cooperacin. El modelo OSI enumera las capas de protocolos desde la superior (capa 7) hasta la inferior (capa 1). La tabla siguiente muestra el modelo.
TABLA 11 N de capa
Modelo de referencia de Interconexin de Sistemas Abiertos

Nombre de capa Descripcin
7 6 5 4
Aplicacin Presentacin Sesin Transporte
Se compone de los servicios y aplicaciones de comunicacin estndar que puede utilizar todo el mundo. Se asegura de que la informacin se transfiera al sistema receptor de un modo comprensible para el sistema. Administra las conexiones y terminaciones entre los sistemas que cooperan. Administra la transferencia de datos. Asimismo, garantiza que los datos recibidos sean idnticos a los transmitidos.
38
TABLA 11 N de capa
Modelo de referencia de Interconexin de Sistemas Abiertos

Nombre de capa Descripcin
(Continuacin)
3 2 1
Red Vnculo de datos Fsica
Administra las direcciones de datos y la transferencia entre redes. Administra la transferencia de datos en el medio de red. Define las caractersticas del hardware de red.
El modelo de referencia OSI define las operaciones conceptuales que no son exclusivas de un conjunto de protocolos de red particular. Por ejemplo, el conjunto de protocolos de red OSI implementa las siete capas del modelo OSI. TCP/IP utiliza algunas de las capas del modelo OSI. TCP/IP tambin combina otras capas. Otros protocolos de red, como SNA, agregan una octava capa.
Modelo de arquitectura del protocolo TCP/IP

El modelo OSI describe las comunicaciones de red ideales con una familia de protocolos. TCP/IP no se corresponde directamente con este modelo. TCP/IP combina varias capas OSI en una nica capa, o no utiliza determinadas capas. La tabla siguiente muestra las capas de la implementacin de Solaris de TCP/IP. La tabla enumera las capas desde la capa superior (aplicacin) hasta la capa inferior (red fsica).
TABLA 12
Pila de protocolo TCP/IP

Equivalente de capa OSI Capa TCP/IP Ejemplos de protocolos TCP/IP
Ref. OSI N de capa
5,6,7
Aplicacin, sesin, presentacin Transporte Red Vnculo de datos Fsica
Aplicacin
NFS, NIS, DNS, LDAP, telnet, ftp, rlogin, rsh, rcp, RIP, RDISC, SNMP y otros. TCP, UDP, SCTP IPv4, IPv6, ARP, ICMP PPP, IEEE 802.2 Ethernet (IEEE 802.3), Token Ring, RS-232, FDDI y otros.
4 3 2 1
Transporte Internet Vnculo de datos Red fsica
La tabla muestra las capas de protocolo TCP/IP y los equivalentes del modelo OSI. Tambin se muestran ejemplos de los protocolos disponibles en cada nivel de la pila del protocolo TCP/IP. Cada sistema que participa en una transaccin de comunicacin ejecuta una nica implementacin de la pila del protocolo.
Captulo 1 Conjunto de protocolos TCP/IP de Solaris (descripcin general) 39
Capa de red fsica

La capa de red fsica especifica las caractersticas del hardware que se utilizar para la red. Por ejemplo, la capa de red fsica especifica las caractersticas fsicas del medio de comunicaciones. La capa fsica de TCP/IP describe los estndares de hardware como IEEE 802.3, la especificacin del medio de red Ethernet, y RS-232, la especificacin para los conectores estndar.
Capa de vnculo de datos

La capa de vnculo de datos identifica el tipo de protocolo de red del paquete, en este caso TCP/IP. La capa de vnculo de datos proporciona tambin control de errores y estructuras. Algunos ejemplos de protocolos de capa de vnculo de datos son las estructuras Ethernet IEEE 802.2 y Protocolo punto a punto (PPP).
Capa de Internet
La capa de Internet, tambin conocida como capa de red o capa IP, acepta y transfiere paquetes para la red. Esta capa incluye el potente Protocolo de Internet (IP), el protocolo de resolucin de direcciones (ARP) y el protocolo de mensajes de control de Internet (ICMP).
Protocolo IP
El protocolo IP y sus protocolos de encaminamiento asociados son posiblemente la parte ms significativa del conjunto TCP/IP. El protocolo IP se encarga de:
Direcciones IP: Las convenciones de direcciones IP forman parte del protocolo IP. Cmo disear un esquema de direcciones IPv4 en la pgina 58 introduce las direcciones IPv4 y Descripcin general de las direcciones IPv6 en la pgina 76 las direcciones IPv6. Comunicaciones de host a host: El protocolo IP determina la ruta que debe utilizar un paquete, basndose en la direccin IP del sistema receptor. Formato de paquetes: el protocolo IP agrupa paquetes en unidades conocidas como datagramas. Puede ver una descripcin completa de los datagramas en Capa de Internet: preparacin de los paquetes para la entrega en la pgina 47. Fragmentacin: Si un paquete es demasiado grande para su transmisin a travs del medio de red, el protocolo IP del sistema de envo divide el paquete en fragmentos de menor tamao. A continuacin, el protocolo IP del sistema receptor reconstruye los fragmentos y crea el paquete original.
El sistema operativo Solaris admite los formatos de direcciones IPv4 e IPv6, que se describen en este manual. Para evitar confusiones con el uso del Protocolo de Internet, se utiliza una de las convenciones siguientes:

Cuando se utiliza el trmino "IP" en una descripcin, sta se aplica tanto a IPv4 como a IPv6. Cuando se utiliza el trmino "IPv4" en una descripcin, sta slo se aplica a IPv4. Cuando se utiliza el trmino "IPv6" en una descripcin, sta slo se aplica a IPv6.
40
Protocolo ARP
El protocolo de resolucin de direcciones (ARP) se encuentra conceptualmente entre el vnculo de datos y las capas de Internet. ARP ayuda al protocolo IP a dirigir los datagramas al sistema receptor adecuado asignando direcciones Ethernet (de 48 bits de longitud) a direcciones IP conocidas (de 32 bits de longitud).
Protocolo ICMP
El protocolo de mensajes de control de Internet (ICMP) detecta y registra las condiciones de error de la red. ICMP registra:

Paquetes soltados: Paquetes que llegan demasiado rpido para poder procesarse. Fallo de conectividad: No se puede alcanzar un sistema de destino. Redireccin: Redirige un sistema de envo para utilizar otro encaminador.
El Captulo 8, Administracin de redes TCP/IP (tareas) contiene ms informacin sobre los comandos del sistema operativo Solaris que utilizan ICMP para la deteccin de errores.
Capa de transporte
La capa de transporte TCP/IP garantiza que los paquetes lleguen en secuencia y sin errores, al intercambiar la confirmacin de la recepcin de los datos y retransmitir los paquetes perdidos. Este tipo de comunicacin se conoce como transmisin de punto a punto. Los protocolos de capa de transporte de este nivel son el Protocolo de control de transmisin (TCP), el Protocolo de datagramas de usuario (UDP) y el Protocolo de transmisin para el control de flujo (SCTP). Los protocolos TCP y SCTP proporcionan un servicio completo y fiable. UDP proporciona un servicio de datagrama poco fiable.
Protocolo TCP
TCP permite a las aplicaciones comunicarse entre s como si estuvieran conectadas fsicamente. TCP enva los datos en un formato que se transmite carcter por carcter, en lugar de transmitirse por paquetes discretos. Esta transmisin consiste en lo siguiente:

Punto de partida, que abre la conexin. Transmisin completa en orden de bytes. Punto de fin, que cierra la conexin.
TCP conecta un encabezado a los datos transmitidos. Este encabezado contiene mltiples parmetros que ayudan a los procesos del sistema transmisor a conectarse a sus procesos correspondientes en el sistema receptor. TCP confirma que un paquete ha alcanzado su destino estableciendo una conexin de punto a punto entre los hosts de envo y recepcin. Por tanto, el protocolo TCP se considera un protocolo fiable orientado a la conexin.
Protocolo SCTP
SCTP es un protocolo de capa de transporte fiable orientado a la conexin que ofrece los mismos servicios a las aplicaciones que TCP. Adems, SCTP admite conexiones entre sistema que tienen ms de una direccin, o de host mltiple. La conexin SCTP entre el sistema transmisor y receptor se denomina asociacin. Los datos de la asociacin se organizan en bloques. Dado que el protocolo SCTP admite varios hosts, determinadas aplicaciones, en especial las que se utilizan en el sector de las telecomunicaciones, necesitan ejecutar SCTP en lugar de TCP.
Protocolo UDP
UDP proporciona un servicio de entrega de datagramas. UDP no verifica las conexiones entre los hosts transmisores y receptores. Dado que el protocolo UDP elimina los procesos de establecimiento y verificacin de las conexiones, resulta ideal para las aplicaciones que envan pequeas cantidades de datos.
Capa de aplicacin
La capa de aplicacin define las aplicaciones de red y los servicios de Internet estndar que puede utilizar un usuario. Estos servicios utilizan la capa de transporte para enviar y recibir datos. Existen varios protocolos de capa de aplicacin. En la lista siguiente se incluyen ejemplos de protocolos de capa de aplicacin:

Servicios TCP/IP estndar como los comandos ftp, tftp y telnet. Comandos UNIX "r", como rlogin o rsh. Servicios de nombres, como NIS o el sistema de nombre de dominio (DNS). Servicios de directorio (LDAP). Servicios de archivos, como el servicio NFS. Protocolo simple de administracin de red (SNMP), que permite administrar la red. Protocolo RDISC (Router Discovery Server) y protocolos RIP (Routing Information Protocol).
Servicios TCP/IP estndar
FTP y FTP annimo: El Protocolo de transferencia de archivos (FTP) transfiere archivos a una red remota y desde ella. El protocolo incluye el comando ftp y el daemon in.ftpd. FTP permite a un usuario especificar el nombre del host remoto y las opciones de comandos de transferencia de archivos en la lnea de comandos del host local. El daemon in.ftpd del host remoto administra las solicitudes del host local. A diferencia de rcp, ftp funciona aunque el equipo remoto no ejecute un sistema operativo basado en UNIX. Para realizar una conexin ftp, el usuario debe iniciar sesin en un sistema remoto, aunque ste se haya configurado para permitir FTP annimo.
42
Puede obtener una gran cantidad de material de servidores FTP annimos conectados a Internet. Las universidades y otras instituciones configuran estos servidores para ofrecer software, trabajos de investigacin y otra informacin al dominio pblico. Al iniciar sesin en este tipo de servidor, se utiliza el nombre de inicio de sesin anonymous, que da nombre al "servidor FTP annimo" Este manual no describe el uso del FTP annimo ni la configuracin de servidores FTP annimos. Existen mltiples libros, como Conctate al mundo de Internet. Gua y catlogo, que describen el protocolo FTP annimo de manera pormenorizada. Encontrar informacin sobre el uso de FTP en la System Administration Guide: Network Services. La pgina del comando man ftp(1) describe todas las opciones del comando ftp que se invocan mediante el intrprete de comandos. La pgina del comando man ftpd(1M) describe los servicios que proporciona el daemon in.ftpd.
Telnet: El protocolo Telnet permite la comunicacin entre los terminales y los procesos orientados a los terminales de una red que ejecuta TCP/IP. Este protocolo se implementa como programa telnet en los sistemas locales y como daemon in.telnetd en los equipos remotos. Telnet proporciona una interfaz de usuario a travs de la cual se pueden comunicar dos hosts carcter por carcter o lnea por lnea. Telnet incluye un conjunto de comandos que se documentan de forma detallada en la pgina del comando man telnet(1). TFTP: el protocolo de transferencia de archivos trivial (tftp) ofrece funciones similares a ftp, pero no establece la conexin interactiva de ftp. Como consecuencia, los usuarios no pueden ver el contenido de un directorio ni cambiar directorios. Los usuarios deben conocer el nombre completo del archivo que se va a copiar. La pgina del comando man tftp(1) describe el conjunto de comandos tftp.
Comandos UNIX "r"

Los comandos UNIX "r" permiten a los usuarios ejecutar comandos en sus equipos locales que se ejecutan en el host remoto. Estos comandos incluyen:

rcp rlogin rsh
Encontrar instrucciones sobre estos comandos en las pginas del comando man rcp(1), rlogin(1) y rsh(1).
Servicios de nombres
El sistema operativo Solaris proporciona los siguientes servicios de nombres:
DNS: El sistema de nombre de dominio (DNS) es el servicio de nombres que proporciona Internet para las redes TCP/IP. DNS proporciona nombres de host al servicio de direcciones IP. Tambin acta como base de datos para la administracin del correo. Para ver una
43
Captulo 1 Conjunto de protocolos TCP/IP de Solaris (descripcin general)
descripcin completa de este servicio, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Consulte tambin la pgina del comando man resolver(3RESOLV).
Archivos /etc : El sistema de nombres UNIX basado en host se desarroll para equipos UNIX autnomos y posteriormente se adapt para el uso en red. Muchos de los antiguos sistemas operativos y equipos UNIX siguen utilizando este sistema, pero no resulta adecuado para redes complejas de gran tamao. NIS: El Servicio de informacin de la red (NIS) se desarroll independientemente de DNS y tiene un enfoque ligeramente distinto. Mientras que DNS trata de facilitar la comunicacin con el uso de nombres de equipos en lugar de direcciones IP numricas, NIS se centra en facilitar la administracin de la red al proporcionar control centralizado sobre distintos tipos de informacin de red. NIS almacena informacin sobre los nombres de equipo y las direcciones, los usuarios, la red y los servicios de red. La informacin de espacio de nombres NIS se almacena en asignaciones NIS. Para obtener ms informacin sobre la arquitectura y administracin de NIS, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Servicio de directorios
El sistema operativo Solaris admite LDAP (Protocolo ligero de acceso a directorios) junto con el servidor de directorios Sun ONE (Sun Open Net Environment), as como otros servidores de directorios LDAP. La diferencia entre un servicio de nombres y un servicio de directorios radica en la extensin de las funciones. Un servicio de directorios proporciona las mismas funciones que un servicio de nombres, pero adems cuenta con funciones adicionales. Consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Servicios de archivos
El protocolo de capa de aplicacin NFS proporciona servicios de archivos para el sistema operativo Solaris. Encontrar informacin completa sobre el servicio NFS en la System Administration Guide: Network Services.
Administracin de la red
El Protocolo simple de administracin de red (SNMP) permite ver la distribucin de la red y el estado de los equipos clave. SNMP tambin permite obtener estadsticas de red complejas del software basado en una interfaz grfica de usuario (GUI). Muchas compaas ofrecen paquetes de administracin de red que implementan SNMP.
Protocolos de encaminamiento
Los protocolos RIP y RDISC son dos protocolos de encaminamiento disponibles para las redes TCP/IP. Para ver una lista completa de los protocolos de encaminamiento disponibles para el sistema operativo Solaris 10, consulte la Tabla 51 y la Tabla 52.
Cmo manejan las comunicaciones de datos los protocolos TCP/IP

Cuando un usuario ejecuta un comando que utiliza un protocolo de capa de aplicacin TCP/IP, se inicia una serie de eventos. El mensaje o el comando del usuario se transfiere a travs de la pila de protocolo TCP/IP del sistema local. A continuacin, el mensaje o el comando pasa por el medio de red hasta los protocolos del sistema remoto. Los protocolos de cada capa del host de envo agregan informacin a los datos originales. Adems, dichos protocolos interactan con sus equivalentes en el host de recepcin. La Figura 11 muestra la interaccin.
Encapsulado de datos y la pila de protocolo TCP/IP

El paquete es la unidad de informacin bsica que se transfiere a travs de una red. El paquete bsico se compone de un encabezado con las direcciones de los sistemas de envo y recepcin, y un cuerpo, o carga til, con los datos que se van a transferir. Cuando el paquete se transfiere a travs de la pila de protocolo TCP/IP, los protocolos de cada capa agregan o eliminan campos del encabezado bsico. Cuando un protocolo del sistema de envo agrega datos al encabezado del paquete, el proceso se denomina encapsulado de datos. Asimismo, cada capa tiene un trmino diferente para el paquete modificado, como se muestra en la figura siguiente.
Captulo 1 Conjunto de protocolos TCP/IP de Solaris (descripcin general)
45
Host de envo Capa de aplicacin Paquete
Host de recepcin Capa de aplicacin Recibe solicitud de inicio de sesin
Host de & rlogin
Capa de transporte Segmento de TCP
Capa de transporte Segmento de TCP
Capa de Internet Datagrama IP
Capa de Internet Datagrama IP
Capa de vnculo de datos Estructura
Capa de vnculo de datos Estructura
Capa de red fsica Estructura
Capa de red fsica Estructura
Medio de red
FIGURA 11
Transferencia de un paquete a travs de la pila TCP/IP
Esta seccin resume el ciclo de vida de un paquete. El ciclo de vida empieza cuando se ejecuta un comando o se enva un mensaje, y finaliza cuando la aplicacin adecuada del sistema receptor recibe el paquete.
Capa de aplicacin: el origen de la comunicacin

El recorrido del paquete empieza cuando un usuario en un sistema enva un mensaje o ejecuta un comando que debe acceder a un sistema remoto. El protocolo de aplicacin da formato al paquete para que el protocolo de capa de transporte adecuado (TCP o UDP) pueda manejar el paquete. Supongamos que el usuario ejecuta un comando rlogin para iniciar sesin en el sistema remoto, tal como se muestra en la Figura 11. El comando rlogin utiliza el protocolo de capa de transporte TCP. TCP espera recibir los datos con el formato de un flujo de bytes que contiene la informacin del comando. Por tanto, rlogin enva estos datos como flujo TCP.
Capa de transporte: el inicio del encapsulado de datos

Cuando los datos llegan a la capa de transporte, los protocolos de la capa inician el proceso de encapsulado de datos. La capa de transporte encapsula los datos de aplicacin en unidades de datos de protocolo de transporte.
El protocolo de capa de transporte crea un flujo virtual de datos entre la aplicacin de envo y la de recepcin, que se identifica con un nmero de puerto de transporte. El nmero de puerto identifica un puerto, una ubicacin dedicada de la memoria par recibir o enviar datos. Adems, la capa de protocolo de transporte puede proporcionar otros servicios, como la entrega de datos ordenada y fiable. El resultado final depende de si la informacin se maneja con los protocolos TCP, SCTP o UDP.
Segmentacin TCP
TCP se denomina a menudo protocolo "orientado a la conexin" porque TCP garantiza la entrega correcta de los datos al host de recepcin. La Figura 11 muestra cmo el protocolo TCP recibe el flujo del comando rlogin. A continuacin, TCP divide los datos que se reciben de la capa de aplicacin en segmentos y adjunta un encabezado a cada segmento. Los encabezados de segmento contienen puertos de envo y recepcin, informacin de orden de los segmentos y un campo de datos conocido como suma de comprobacin. Los protocolos TCP de ambos hosts utilizan los datos de suma de comprobacin para determinar si los datos se transfieren sin errores.
Establecimiento de una conexin TCP

TCP utiliza segmentos para determinar si el sistema de recepcin est listo para recibir los datos. Cuando el protocolo TCP de envo desea establecer conexiones, enva un segmento denominado SYN al protocolo TCP del host de recepcin. El protocolo TCP de recepcin devuelve un segmento denominado ACK para confirmar que el segmento se ha recibido correctamente. El protocolo TCP de envo emite otro segmento ACK y luego procede al envo de los datos. Este intercambio de informacin de control se denomina protocolo de tres vas.
Paquetes UDP
UDP es un protocolo "sin conexiones". A diferencia de TCP, UDP no comprueba los datos que llegan al host de recepcin. En lugar de ello, UDP da formato al mensaje que se recibe desde la capa de la aplicacin en los paquetes UDP. UDP adjunta un encabezado a cada paquete. El encabezado contiene los puertos de envo y recepcin, un campo con la longitud del paquete y una suma de comprobacin. El proceso UDP de envo intenta enviar el paquete a su proceso UDP equivalente en el host de recepcin. La capa de aplicacin determina si el proceso UDP de recepcin confirma la recepcin del paquete. UDP no requiere ninguna notificacin de la recepcin. UDP no utiliza el protocolo de tres vas.
Capa de Internet: preparacin de los paquetes para la entrega

Los protocolos de transporte TCP, UDP y SCTP transfieren sus segmentos y paquetes a la capa de Internet, en la que el protocolo IP los maneja. El protocolo IP los prepara para la entrega
asignndolos a unidades denominadas datagramas IP. A continuacin, el protocolo IP determina las direcciones IP para los datagramas, para que se puedan enviar de forma efectiva al host de recepcin.
Datagramas IP
IP adjunta un encabezado IP al segmento o el encabezado del paquete, adems de la informacin que agregan los protocolos TCP o UDP. La informacin del encabezado IP incluye las direcciones IP de los hosts de envo y recepcin, la longitud del datagrama y el orden de secuencia del datagrama. Esta informacin se facilita si el datagrama supera el tamao de bytes permitido para los paquetes de red y debe fragmentarse.
Capa de vnculo de datos: ubicacin de la estructuracin

Los protocolos de capa de vnculo de datos, como PPP, colocan el datagrama IP en una estructura. Estos protocolos adjuntan un tercer encabezado y un pie de pgina para crear una estructura del datagrama. El encabezado de la estructura incluye un campo de comprobacin de la redundancia cclica (CRC) que comprueba si se producen errores al transferir la estructura por el medio de red. A continuacin, la capa del vnculo de datos transfiere la estructura a la capa fsica.
Capa de red fsica: ubicacin de envo y recepcin de estructuras

La capa de red fsica del host de envo recibe las estructuras y convierte las direcciones IP en las direcciones de hardware adecuadas para el medio de red. A continuacin, la capa de red fsica enva la estructura a travs del medio de red.
Administracin del paquete por parte del host de recepcin

Cuando el paquete llega al host de recepcin, se transfiere a travs de la pila de protocolo TCP/IP en el orden inverso al envo. La Figura 11 ilustra esta ruta. Asimismo, cada protocolo del host de recepcin filtra la informacin de encabezado que adjunta al paquete su equivalente en el host de envo. Tiene lugar el siguiente proceso: 1. La capa de red fsica recibe el paquete con el formato de estructura. La capa de red fsica procesa la CRC del paquete y luego enva la misma estructura a la capa del vnculo de datos. 2. La capa del vnculo de datos comprueba que la CRC de la estructura sea correcta y filtra el encabezado de la estructura y la CRC. Finalmente, el protocolo del vnculo de datos enva la estructura a la capa de Internet. 3. La capa de Internet lee la informacin del encabezado para identificar la transmisin. A continuacin, la capa de Internet determina si el paquete es un fragmento. Si la transmisin est fragmentada, el protocolo IP rene los fragmentos en el datagrama original. A continuacin, IP filtra el encabezado de IP y transfiere el datagrama a los protocolos de capa de transporte.
Informacin adicional sobre TCP/IP e Internet
4. La capa de transporte (TCP, SCTP y UDP) lee el encabezado para determinar qu protocolo de capa de aplicacin debe recibir los datos. A continuacin, TCP, SCTP o UDP filtra el encabezado relacionado. TCP, SCTP o UDP enva el mensaje o el flujo a la aplicacin de recepcin. 5. La capa de aplicacin recibe el mensaje. A continuacin, la capa de aplicacin lleva a cabo la operacin que solicita el host de envo.
Admisin de seguimiento interno de TCP/IP

TCP/IP proporciona admisin de seguimiento interno registrando la comunicacin TCP cuando un paquete RST finaliza una conexin. Cuando se transmite o recibe un paquete RST, con la informacin de conexin se registra la informacin de hasta 10 paquetes que se acaban de transmitir.

Hay una gran cantidad de informacin disponible sobre TCP/IP e Internet. Si necesita informacin especfica que no se incluye en este texto, probablemente la encuentre en las fuentes que se citan a continuacin.
Manuales sobre TCP/IP

Encontrar mltiples manuales sobre TCP/IP e Internet en bibliotecas o libreras especializadas. Los dos libros siguientes se consideran clsicos sobre TCP/IP:
Craig Hunt. TCP/IP Network Administration: Este manual contiene algo de teora y mucha informacin prctica para la administracin de una red TCP/IP heterognea. W. Richard Stevens. TCP/IP Illustrated, Volume I: Este manual profundiza en los protocolos TCP/IP. Resulta ideal para los administradores de redes que requieren conocimientos tcnicos sobre TCP/IP y para los programadores de redes.
Pginas web sobre TCP/IP y redes

En Internet existe una gran cantidad de pginas web y grupos de usuarios dedicados a los protocolos TCP/IP y su administracin. Muchos fabricantes, entre ellos Sun Microsystems, ofrecen recursos en lnea de informacin general sobre TCP/IP. A continuacin se incluyen algunos recursos Web tiles con informacin sobre TCP/IP y la administracin general del sistema.
Sitio web
Descripcin
The Internet Engineering Task Force (IETF) web site (http://www.ietf.org/ home.html)
IETF es el organismo responsable de la arquitectura y el gobierno de Internet. La pgina web de IETF contiene informacin sobre las distintas actividades que lleva a cabo este organismo. Asimismo, incluye vnculos a las principales publicaciones del IETF. BigAdmin ofrece informacin sobre la administracin de equipos Sun. En esta pgina, encontrar preguntas frecuentes, recursos, foros,vnculos a documentacin y otros materiales relativos a la administracin del sistema operativo Solaris, incluidas las redes.
Sun Microsystem's BigAdmin Portal (http://www.sun.com/bigadmin)
Peticiones de comentarios y borradores de Internet

Los grupos de trabajo de Internet Engineering Task Force (IETF) publican documentos sobre estndares conocidos como Requests for Comments (RFC o peticiones de comentarios). Los estndares que se estn desarrollando se publican como borradores de Internet en Internet Drafts. El Comit de Arquitectura de Internet (Internet Architecture Board o IAB) debe aprobar todas las RFC antes de colocarlas en un dominio pblico. Normalmente, las RFC y los borradores de Internet se dirigen a los desarrolladores y otros usuarios con gran experiencia tcnica. Sin embargo, hay una serie de RFC que abordan temas de TCP/IP e incluyen informacin valiosa para los administradores de sistemas. Estas RFC se citan en varios lugares de este manual. Generalmente, las RFC incluyen un subconjunto de documentos For Your Information (FYI o para su informacin). Los FYI contienen informacin que no es relativa a los estndares de Internet. Contienen informacin de Internet ms general. Por ejemplo, los documentos FYI incluyen una bibliografa con manuales y documentos de introduccin a TCP/IP. Los documentos FYI constituyen un compendio exhaustivo de las herramientas de software relacionadas con Internet. Finalmente, incluyen un glosario de los trminos de redes generales y de Internet. Encontrar referencias a RFC relevantes en esta gua y en otros manuales para los administradores de sistemas Solaris.
50
P A R T E
I I
Administracin de TCP/IP
Esta parte contiene tareas e informacin conceptual para poder configurar, administrar y resolver problemas de redes TCP/IP.
51
52
C A P T U L O
Planificacin de la red TCP/IP (tareas)
En este captulo se describen las cuestiones que debe resolver para poder crear una red de un modo organizado y rentable. Una vez resueltas estas cuestiones, puede establecer una planificacin de la red en la que se contemple la configuracin y administracin de la red en el futuro. Este captulo contiene la informacin siguiente:

Determinacin del hardware de red en la pgina 55 Cmo obtener el nmero de IP de la red en la pgina 58 Cmo decidir el formato de las direcciones IP para la red en la pgina 55 Entidades de denominacin en la red en la pgina 63 Planificacin de encaminadores en la red en la pgina 66
Para conocer las tareas necesarias para configurar una red, consulte el Captulo 5, Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas).
53
Planificacin de la red (mapa de tareas)
Planificacin de la red (mapa de tareas)

Tarea Descripcin Para obtener informacin
1. Planificar los requisitos de hardware y la topologa de red.
Determina los tipos de equipo que se necesitan y la distribucin de los equipos en el sitio.
Para ver cuestiones generales sobre la topologa de red, consulte Determinacin del hardware de red en la pgina 55. Para conocer la planificacin de la topologa de IPv6, consulte Preparacin de la topologa red para admitir IPv6 en la pgina 90. Para obtener informacin sobre un tipo de equipo especfico, consulte la documentacin del fabricante del equipo.
2. Obtener una direccin IP registrada para la red.
La red debe tener una direccin IP Consulte Cmo obtener el nica si tiene previsto comunicarse nmero de IP de la red fuera de su red local, por ejemplo, a en la pgina 58. travs de Internet. Consulte Cmo disear un esquema de direcciones IPv4 en la pgina 58 o Preparacin de un plan de direcciones IPv6 en la pgina 95. Consulte Bases de datos de red en la pgina 64. Consulte Seleccin de un servicio de nombres y de directorios en la pgina 64. Consulte Subdivisiones administrativas en la pgina 66. Consulte Planificacin de encaminadores en la red en la pgina 66.
3. Crear una planificacin de las Determine cuntas direcciones se direcciones IP para los sistemas, deben instalar en el sitio. basndose en su prefijo de red IPv4 o el prefijo de sitio IPv6. 4. Crear una lista que contenga las direcciones IP y los nombres de host de todos los equipos de la red. 5. Determinar qu servicio de nombres utilizar en la red. 6. Establecer subdivisiones administrativas, si la red lo requiere. 7. Determinar dnde colocar los encaminadores en el diseo de la red. Utilice la lista para crear bases de datos de red. Permite decidir si utilizar NIS, LDAP, DNS o las bases de datos de red en el directorio /etc local. Decida si el sitio precisa la divisin de la red en subdivisiones administrativas. Si la red es lo suficientemente grande como para requerir el uso de encaminadores, cree una topologa de red que los admita.
54
Cmo decidir el formato de las direcciones IP para la red
Tarea
Descripcin
Para obtener informacin
8. Si es preciso, disear una estrategia para las subredes.
Es posible que deba crear subredes para la administracin del espacio de direcciones IP o para que haya ms direcciones IP disponibles para los usuarios.
Para la planificacin de subredes IPv4, consulte Qu son las subredes? en la pgina 256. Para la planificacin de subredes IPv6, consulte Creacin de un esquema de numeracin para subredes en la pgina 95.
Determinacin del hardware de red

Al disear la red, debe decidir qu tipo de red se adapta mejor a su organizacin. Algunas de las decisiones de planificacin que debe tomar estn relacionadas con el hardware de red siguiente:

La topologa de red, el diseo y las conexiones del hardware de red El nmero de sistemas host que admite la red Los tipos de host que admite la red Los tipos de servidores que puede necesitar El tipo de medio de red que utilizar: Ethernet, Token Ring, FDDI, etc. Si necesita puentes o encaminadores que extiendan este medio o conecten la red local a redes externas Si algunos sistemas requieren interfaces adquiridas por separado adems de sus interfaces integradas
Teniendo en cuenta estos factores, puede determinar el tamao de la red de rea local.
Nota En este manual no se aborda el tema de la planificacin del hardware de red. Para obtener
ayuda, consulte los manuales que se proporcionan con el hardware.

El nmero de sistemas que desea que sean compatibles determina la configuracin de la red. Es posible que su organizacin requiera una pequea red de varias docenas de sistemas independientes ubicados en una nica planta de un edificio. Tambin es posible que requiera la configuracin de una red con ms de 1.000 sistemas ubicados en varios edificios. Esta configuracin podra hacer necesaria la divisin de la red en subdivisiones denominadas subredes. Cuando planifique el esquema de direcciones de red, tenga en cuenta los siguientes factores:
Captulo 2 Planificacin de la red TCP/IP (tareas) 55
El tipo de direccin IP que desea utilizar: IPv4 o IPv6 El nmero de sistemas potenciales de la red El nmero de sistemas que son encaminadores o sistemas de host mltiple, que requieren una direccin IP para cada interfaz Si se utilizarn direcciones privadas en la red Si habr un servidor DHCP que administre las agrupaciones de direcciones IPv4
El crecimiento mundial de Internet desde 1990 ha derivado en la escasez de direcciones IP disponibles. Para solucionar esta situacin, Internet Engineering Task Force (IETF) ha desarrollado una serie de alternativas a las direcciones IP. Los tipos de direcciones IP que se utilizan actualmente son: Si se ha asignado a su organizacin ms de una direccin IP para la red o si utiliza subredes, designe una autoridad centralizada en su organizacin para asignar las direcciones IP. Dicha autoridad debe controlar una agrupacin de direcciones IP de red asignadas, y asignar las direcciones de red, subred y host segn sea necesario. Para evitar problemas, asegrese de que no haya nmeros de red duplicados ni aleatorios en su organizacin.
Direcciones IPv4
Estas direcciones de 32 bits son el formato original de direcciones IP diseado para TCP/IP. Originalmente, existen tres clases de direcciones IP: A, B y C. El nmero de red que se asigna a una red refleja esta designacin de clase ms 8 o ms bits para representar un host. Las direcciones IPv4 basadas en clases requieren la configuracin de una mscara de red para el nmero de red. Asimismo, para que hayan ms direcciones disponibles para los sistemas de la red local, estas direcciones a menudo se dividen en subredes. Actualmente, se hace referencia a las direcciones IP como direcciones IPv4. Aunque los ISP ya no proporcionan nmeros de red IPv4 basados en clases, muchas redes existentes siguen tenindolos. Si desea ms informacin sobre la administracin de direcciones IPv4, consulte Cmo disear un esquema de direcciones IPv4 en la pgina 60.
Direcciones IPv4 en formato CIDR

IETF ha desarrollado las direcciones CIDR (Classless Inter-Domain Routing) como solucin a corto y medio plazo para la escasez de direcciones IPv4. Asimismo, el formato CIDR se ha diseado como solucin para la falta de capacidad de las tablas de encaminamiento de Internet globales. Una direccin IPv4 con notacin CIDR tiene una longitud de 32 bits y el mismo formato decimal con punto. Sin embargo, CIDR agrega una designacin de prefijo despus del byte de la derecha para definir la parte de red de la direccin IPv4. Para ms informacin, consulte Cmo disear un esquema de direcciones IPv4 CIDR en la pgina 61.
Direcciones DHCP
El protocolo DHCP (Dynamic Host Configuration Protocol o protocolo dinmico de configuracin de host) permite a un sistema recibir informacin de configuracin de un servidor DHCP, incluida una direccin IP, como parte del proceso de arranque. Los servidores DHCP cuentan con agrupaciones de direcciones IP desde las que se asignan direcciones a los clientes DHCP. Un sitio que utilice DHCP puede utilizar una agrupacin de direcciones IP menor que la que se necesitara si todos los clientes tuvieran asignada una direccin IP permanente. Puede configurar el servicio DHCP de Solaris para administrar las direcciones IP del sitio, o parte de ellas. Para ms informacin, consulte el Captulo 12, Solaris DHCP (descripcin general).
Direcciones IPv6
IETF ha creado las direcciones IPv6 de 128 bits como solucin a largo plazo para la escasez de direcciones IPv4 disponibles. Las direcciones IPv6 proporcionan un espacio de direcciones mayor que el que hay disponible con las direcciones IPv4. El sistema operativo Solaris admite direcciones IPv4 e IPv6 en el mismo host, gracias al uso de la pila doble de TCP/IP. Al igual que las direcciones IPv4 en formato CIDR, las direcciones IPv6 no tienen nociones de clases o mscaras de red. Al igual que en el formato CIDR, las direcciones IPv6 utilizan prefijos para designar la parte de la direccin que define la red del sitio. Para ver una introduccin a IPv6, consulte Descripcin general de las direcciones IPv6 en la pgina 76.
Direcciones privadas y prefijos de documentacin

La IANA ha reservado un bloque de direcciones IPv4 y un prefijo de sitio IPv6 para utilizar en redes privadas. Puede implementar estas direcciones en sistemas de una red de empresa, pero teniendo en cuenta que los paquetes con direcciones privadas no se pueden encaminar a travs de Internet. Si desea ms informacin sobre las direcciones privadas, consulte Uso de direcciones IPv4 privadas en la pgina 62.
Nota Las direcciones IPv4 privadas tambin se reservan para fines de documentacin. Los
ejemplos de este manual utilizan direcciones IPv4 privadas y el prefijo de documentacin de IPv6 reservado.
Captulo 2 Planificacin de la red TCP/IP (tareas)
57
Cmo obtener el nmero de IP de la red
Cmo obtener el nmero de IP de la red

Una red IPv4 se define con una combinacin de un nmero de red IPv4 ms una mscara de red. Una red IPv6 se define mediante el prefijo de sitio y si cuenta con subredes mediante el prefijo de subred. A menos que la red vaya a ser siempre privada, los usuarios locales seguramente necesitarn comunicarse ms all de la red local. Por tanto, es preciso obtener un nmero de IP registrado para la red de la organizacin pertinente antes de que la red se pueda comunicar con el exterior. Esta direccin pasar a ser el nmero de red para el esquema de direcciones IPv4 o el prefijo de sitio para el esquema de direcciones IPv6. Los proveedores de servicios de Internet proporcionan direcciones IP para las redes cuyos precios se basan en los distintos niveles de servicio. Compare los diferentes ISP para determinar cul de ellos proporciona el mejor servicio para su red. Los ISP normalmente ofrecen a las empresas direcciones asignadas dinmicamente o direcciones IP estticas. Algunos ISP ofrecen direcciones tanto IPv4 como IPv6. Si su sitio es un ISP, obtiene bloques de direcciones IP para los clientes a travs de un registro de Internet (IR) para su configuracin regional. La Autoridad de nmeros asignados de Internet (IANA o Internet Assigned Numbers Authority) es la principal responsable de la delegacin de direcciones IP registradas a los registros de Internet de todo el mundo. Cada IR cuenta con informacin de registro y plantillas para la configuracin regional en la que el IR ofrece el servicio. Para obtener informacin sobre la IANA y sus IR, consulte la pgina de servicio de direcciones IP de IANA (http://www.iana.org/ipaddress/ip-addresses.htm).
Nota No asigne direcciones IP de forma arbitraria a la red, aunque no est conectando la red a
redes TCP/IP externas. En lugar de ello, utilice direcciones privadas tal como se describe en Uso de direcciones IPv4 privadas en la pgina 62.
Cmo disear un esquema de direcciones IPv4

Nota Para obtener informacin sobre la planificacin de direcciones IPv6, consulte
Preparacin de un plan de direcciones IPv6 en la pgina 95. En esta seccin se ofrece una descripcin general de las direcciones IPv4 para ayudarle a disear un plan de direcciones IPv4. Para obtener informacin sobre las direcciones IPv6, consulte Descripcin general de las direcciones IPv6 en la pgina 76. Para obtener informacin sobre las direcciones DHCP, consulte el Captulo 12, Solaris DHCP (descripcin general). Cada red basada en IPv4 debe contar con:
Un nmero de red exclusivo asignado por un ISP, un IR o, para las redes ms antiguas, registrado por la IANA. Si tiene previsto utilizar direcciones privadas, los nmeros de red que cree deben ser exclusivos en su organizacin. Direcciones IPv4 exclusivas para las interfaces de cada sistema en la red. Una mscara de red.
La direccin IPv4 es un nmero de 32 bits que identifica de forma exclusiva una interfaz de red en un sistema, tal como se explica en Aplicacin de las direcciones IP a las interfaces de red en la pgina 63. Una direccin IPv4 se escribe en dgitos decimales, y se divide en cuatro campos de 8 bits separados por puntos. Cada campo de 8 bits representa un byte de la direccin IPv4. Este modo de representar los bytes de una direccin IPv4 se denomina normalmente formato de decimales con puntos. La figura siguiente muestra los componentes de una direccin IPv4, 172.16.50.56.
172.16.50.56 Parte Parte correscorrespondiente pondiente a la red al host

FIGURA 21
Formato de direcciones IPv4
172.16 50.56
Nmero de red IPv4 registrada. En la notacin IPv4 basada en clases, este nmero tambin define la clase de red IP (la clase B en este ejemplo), que registra la IANA. Parte del host de la direccin IPv4. La parte del host identifica de forma exclusiva una interfaz en un sistema de una red. Para cada interfaz de una red local, la parte de la red de la direccin es la misma, pero la parte del host debe ser diferente.
Si tiene previsto crear una subred de una red IPv4 basada en clases, debe definir una mscara de subred o mscara de red, tal como se describe en Base de datos netmasks en la pgina 256. El ejemplo siguiente muestra la direccin de formato CIDR 192.168.3.56/22
59
192.168.3.56/22 Parte Parte correscorrespondiente pondiente a la red al host

FIGURA 22
Prefijo de red
Direccin IPv4 de formato CIDR
192.168.3 56 /22
Parte de la red, que se compone del nmero de red IPv4 que se recibe de un ISP o un IR. Parte del host, que se asigna a una interfaz de un sistema. Prefijo de la red, que define cuntos bits de la direccin componen el nmero de red. El prefijo de la red tambin proporciona la mscara de subred para la direccin IP. Los prefijos de red tambin los asigna el ISP o el IR.
Una red basada en Solaris puede combinar direcciones IPv4 estndar, direcciones IPv4 con formato CIDR, direcciones DHCP, direcciones IPv6 y direcciones IPv4 privadas.

Esta seccin describe las clases en las que se organizan las direcciones IPv4 estndar. Aunque la IANA ya no proporciona nmeros de red basados en clases, estos nmeros siguen utilizndose en muchas redes. Es posible que necesite administrar el espacio de direccin de un sitio con nmeros de red basados en clases. Para obtener una explicacin completa de las clases de red IPv4, consulte Clases de red en la pgina 270. La tabla siguiente muestra la divisin de la direccin IPv4 estndar en espacios de direcciones de red y de host. Para cada clase, el rango especifica el intervalo de valores decimales del primer byte del nmero de red. La direccin de red indica el nmero de bytes de la direccin IPv4 que se dedican a la parte de red de la direccin. Cada byte se representa con xxx. La direccin de host indica el nmero de bytes que se dedican a la parte del host de la direccin. Por ejemplo, en una direccin de red de clase A, el primer byte est dedicado a la red y los tres ltimos bytes al host. Para las redes de clase C se aplica la designacin opuesta.
TABLA 21 Clase
Divisin de las clases IPv4

Rango de bytes Nmero de red Direccin de host
A B C
0127 128191 192223
xxx xxx.xxx xxx.xxx. xxx
xxx.xxx. xxx xxx.xxx xxx
60
Los nmeros del primer byte de la direccin IPv4 definen si la red es de clase A, B o C. Los tres bytes restantes tienen el rango de 0255. Los nmeros 0 y 255 estn reservados. Puede asignar los nmeros del 1 al 254 a cada byte, dependiendo de la clase de red que la IANA asign a su red. La tabla siguiente muestra qu bytes de la direccin IPv4 tiene asignados. La tabla tambin muestra el rango de nmero de cada byte que tiene a su disposicin para asignarlos a los hosts.
TABLA 22 Clase de red
Rango de clases IPv4 disponibles

Rango de bytes 1 Rango de bytes 2 Rango de bytes 3 Rango de bytes 4
A B C
0127 128191 192223
1254 Preasignado por la IANA Preasignado por la IANA
1254 1254 Preasignado por la IANA
1254 1254 1254
Nmero de subred IPv4

Las redes locales con grandes cantidades de hosts a veces se dividen en subredes. Si divide el nmero de red IPv4 en subredes, debe asignar un identificador de red a cada subred. Puede alcanzar la mxima eficacia del espacio de direccin IPv4 utilizando algunos de los bits de la parte de host de la direccin IPv4 como identificador de red. Cuando se utiliza como identificador de red, la parte especificada de la direccin pasa a ser el nmero de subred. Un nmero de subred se crea utilizando una mscara de red, que es una mscara de bits que selecciona las partes de red y subred de una direccin IPv4. Consulte Creacin de la mscara de red para las direcciones IPv4 en la pgina 257 para ms informacin.
Cmo disear un esquema de direcciones IPv4 CIDR

Las clases de red que originalmente constituan IPv4 ya no se utilizan en Internet. Actualmente, la IANA distribuye direcciones e formato CIDR sin clase a sus registros de todo el mundo. Cualquier direccin IPv4 que obtenga de un ISP tendr el formato CIDR, tal como se muestra en la Figura 22. El prefijo de red de la direccin CIDR indica cuntas direcciones IPv4 hay disponibles para los hosts de su red. Tenga en cuenta que estas direcciones de host se asignan a las interfaces de un host. Si un host tiene ms de una interfaz fsica, debe asignar una direccin de host para cada interfaz fsica que se utilice. El prefijo de red de una direccin CIDR tambin define la longitud de la mscara de subred. La mayora de los comandos de Solaris 10 reconocen la designacin del prefijo CIDR de una mscara de subred de una red. No obstante, el programa de instalacin de Solaris y
/etc/netmask file hacen necesaria la configuracin de la mscara de subred utilizando la notacin decimal con punto. En ambos casos, utilice la representacin decimal con punto del prefijo de red CIDR, tal como se muestra en la tabla.
TABLA 23
Prefijos CIDR y su equivalente decimal

Direcciones IP disponibles Equivalente de subred decimal con punto
Prefijo de red CIDR
/19 /20 /21 /22 /23 /24 /25 /26 /27
8,192 4,096 2,048 1024 512 256 128 64 32
255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224
Para obtener ms informacin sobre las direcciones CIDR, consulte estas fuentes:
Para obtener informacin tcnica sobre CIDR, consulte RFC 1519, Classless Inter-Domain Routing (CIDR): una estrategia de agregacin y asignacin de direcciones (http://www.ietf.org/rfc/rfc1519.txt?number=1519). Si desea ms informacin general sobre CIDR, consulte la pgina de Pacific Bell Internet en Classless Inter-Domain Routing (CIDR) Overview (http://www.wirelesstek.com/ cidr.htm). Puede encontrar otra descripcin general de CIDR en el artculo de la Wikipedia " CIDR (Classless inter-domain routing)" (http://en.wikipedia.org/wiki/ Classless_inter-domain_routing).
Uso de direcciones IPv4 privadas

La IANA ha reservado tres bloques de direcciones IPv4 para que las compaas las utilicen en sus redes privadas. Estas direcciones aparecen definidas en RFC 1918, Address Allocation for Private Internets (http://www.ietf.org/rfc/rfc1918.txt?number=1918). Puede utilizar estas direcciones privadas, conocidas tambin como direcciones 1918, para los sistemas de las redes locales de una intranet corporativa. Sin embargo, las direcciones privadas no son vlidas en Internet. No las utilice en sistemas que deban comunicarse fuera de la red local.
Entidades de denominacin en la red
Rango de direcciones IPv4
Mscara de red
10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255
10.0.0.0 172.16.0.0 192.168.0.0
Aplicacin de las direcciones IP a las interfaces de red

Para conectarse a la red, un sistema debe tener como mnimo una interfaz de red fsica. Cada interfaz de red debe tener su propia direccin IP exclusiva. Durante la instalacin de Solaris, debe proporcionar la direccin IP para la primera interfaz que encuentre el programa de instalacin. Normalmente dicha interfaz se denomina nombre_dispositivo0, por ejemplo eri0 o hme0. Esta interfaz se considera la interfaz de red principal. Si aade una segunda interfaz de red a un host, dicha interfaz tambin debe tener su propia direccin IP exclusiva. Al agregar la segunda interfaz de red, el host pasa a ser un host mltiple. En cambio, al agregar una segunda interfaz de red a un host y activar el reenvo de IP, dicho host pasa a ser un encaminador. Consulte Configuracin de un encaminador IPv4 en la pgina 122 para obtener una explicacin. Cada interfaz de red tiene un nombre de dispositivo, un controlador de dispositivo y un archivo de dispositivo asociado en el directorio /devices. La interfaz de red puede tener un nombre de dispositivo como eri o smc0, que son nombres de dispositivo para dos interfaces Ethernet de uso comn. Si desea informacin sobre las tareas relacionadas con las interfaces, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 144 o el Captulo 6, Administracin de interfaces de red (tareas).
Nota En este manual se presupone que se est trabajando con sistemas que tengan interfaces de red Ethernet. Si tiene previsto utilizar diferentes medios de red, consulte los manuales que se incluyen con la interfaz de red para obtener informacin sobre la configuracin.

Despus de recibir su direccin IP de red asignada y de asignar las direcciones IP a los sistemas, debe asignar los nombres a los hosts. A continuacin, debe determinar cmo administrar los servicios de nombres de la red. Estos nombres se utilizan inicialmente al configurar la red y despus al expandirla por encaminadores, puentes y PPP. Los protocolos TCP/IP localizan un sistema en una red utilizando su direccin IP. Sin embargo, si utiliza un nombre reconocible, puede identificar fcilmente el sistema. En consecuencia, los
protocolos TCP/IP (y el sistema operativo Solaris) requieren tanto la direccin IP como el nombre de host para identificar un sistema de modo exclusivo. Desde el punto de vista del protocolo TCP/IP, una red es un conjunto de entidades con nombre. Un host es una entidad con un nombre. Un encaminador es una entidad con un nombre. La red es una entidad con un nombre. Del mismo modo, se puede asignar un nombre a un grupo o departamento en el que est instalada la red, as como a una divisin, regin o compaa. En teora, la jerarqua de nombres que se pueden utilizar para identificar una red prcticamente no tiene lmites. El nombre de dominio identifica un dominio.
Administracin de nombres de host

Muchos sitios permiten a los usuarios elegir los nombres de host para sus equipos. Los servidores tambin requieren como mnimo un nombre de host, asociado a la direccin IP de su interfaz de red principal. Como administrador del sistema, debe asegurarse de que cada nombre de host de su dominio sea exclusivo. En otros trminos, no puede haber dos equipos en la red que tengan el nombre de "fred". Sin embargo, el equipo "fred" puede tener mltiples direcciones IP. Cuando planifique su red, realice una lista de las direcciones IP y sus nombres de host asociados para poder acceder a ellos fcilmente durante el proceso de configuracin. Dicha lista le ayudar a verificar que todos los nombres de host sean exclusivos.
Seleccin de un servicio de nombres y de directorios

El sistema operativo Solaris permite utilizar tres tipos de servicios de nombres: archivos locales, NIS y DNS. Los servicios de nombres contienen informacin crtica sobre los equipos de una red, como los nombres de host, las direcciones IP, las direcciones Ethernet, etc. El sistema operativo Solaris tambin permite utilizar el servicio de directorios LDAP adems de un servicio de nombres, o en lugar de l. Para ver una introduccin a los servicios de nombres de Solaris, consulte la Parte I, About Naming and Directory Services de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Bases de datos de red

Al instalar el sistema operativo, facilita el nombre de host y la direccin IP del servidor, los clientes o el sistema independiente como parte del procedimiento. El programa de instalacin de Solaris incluye esta informacin en hosts y, en el caso de Solaris 10 11/06 y versiones anteriores de Solaris 10, la base de datos de red ipnodes. Esta base de datos forma parte de un conjunto de bases de datos de red que contienen la informacin necesaria para el funcionamiento de TCP/IP en la red. El servicio de nombres que seleccione para la red leer estas bases de datos.
La configuracin de las bases de datos de red es imprescindible. Debe decidir qu servicio de nombres utilizar como parte del proceso de planificacin de la red. Asimismo, la decisin de utilizar servicios de nombres tambin determina si organizar la red en un dominio administrativo. Bases de datos de red y el archivo nsswitch.conf en la pgina 260 incluye informacin detallada sobre el conjunto de bases de datos de red.
Uso de NIS o DNS como servicio de nombres

Los servicios de nombres NIS y DNS crean bases de datos de red en varios servidores de la red. System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) describe estos servicios de nombres y explica cmo configurar las bases de datos. Asimismo, la gua explica de forma pormenorizada los conceptos de "espacio de nombres" y "dominio administrativo".
Uso de archivos locales como servicio de nombres

Si no implementa NIS, LDAP o DNS, la red utiliza archivos locales para proporcionar el servicio de nombres. El trmino "archivos locales" hace referencia a la serie de archivos del directorio /etc que utilizan las bases de datos de red. En los procedimientos de este manual se presupone que est utilizando archivos locales para el servicio de nombres, a menos que se especifique lo contrario.
Nota Si decide utilizar archivos locales como servicio de nombres para la red, puede configurar
otro servicio de nombres posteriormente.
Nombres de dominio
Muchas redes organizan sus hosts y encaminadores en una jerarqua de dominios administrativos. Si utiliza el servicio de nombres NIS o DNS, debe seleccionar un nombre de dominio para la organizacin que sea exclusivo en todo el mundo. Para asegurarse de que su nombre de dominio sea exclusivo, debe registrarlo con InterNIC. Si tiene previsto utilizar DNS, tambin debe registrar su propio nombre de dominio con InterNIC. La estructura del nombre de dominio es jerrquica. Un nuevo dominio normalmente se ubica debajo de un dominio relacionado que ya existe. Por ejemplo, el nombre de dominio para una compaa subsidiaria puede ubicarse debajo el dominio de su compaa principal. Si el nombre de dominio no tiene otra relacin, una organizacin puede colocar su nombre de dominio directamente debajo de uno de los dominios que hay en el nivel superior. A continuacin se incluyen algunos ejemplos de dominios de nivel superior:

.com: compaas comerciales (de mbito internacional) .edu: instituciones educativas (de mbito internacional) .gov: organismos gubernamentales estadounidenses .fr: Francia
65
Planificacin de encaminadores en la red
Seleccione el nombre que identifique a su organizacin, teniendo en cuenta que debe ser exclusivo.
Subdivisiones administrativas
Las subdivisiones administrativas estn relacionadas con el tamao y el control. Cuantos mas hosts y servidores haya en una red, ms compleja ser la tarea de administracin. Puede configurar divisiones administrativas adicionales si es preciso. Agregue redes de una clase especfica. Divida las redes existentes en subredes. La decisin de configurar subdivisiones administrativas para su red la determinan los factores siguientes:
Qu tamao tiene la red? Una nica divisin administrativa puede controlar una nica red de varios cientos de hosts, todo en la misma ubicacin fsica y con los mismos servicios administrativos. Sin embargo, en ocasiones es preciso establecer varias subdivisiones administrativas. Las subdivisiones resultan especialmente tiles si tiene una red reducida con subredes y est repartida por un rea geogrfica extensa.
Los usuarios de la red tienen necesidades similares? Por ejemplo, puede tener una red confinada a un nico edificio que admita un nmero de equipos relativamente reducido. Estos equipos se reparten en una serie de subredes. Cada subred admite grupos de usuarios con diferentes necesidades. En este ejemplo, puede utilizar una subdivisin administrativa para cada subred.

Tenga en cuenta que en el protocolo TCP/IP existen dos tipos de entidades en una red: hosts y encaminadores. Mientras que todas las redes requieren un host, no es necesario que tengan un encaminador. La topologa fsica de la red determina la necesidad de encaminadores. En esta seccin se introducen los conceptos de topologa de red y encaminamiento. Estos conceptos son importantes cuando decide agregar otra red a su entorno de red.
Nota Para ver las tareas y detalles completos para la configuracin de los encaminadores en las redes IPv4, consulte Reenvo de paquetes y rutas en redes IPv4 en la pgina 114. Para ver las tareas y detalles completos para la configuracin de los encaminadores en las redes IPv6, consulte Configuracin de un encaminador IPv6 en la pgina 187.
Descripcin general de la topologa de red

La topologa de red describe cmo encajan las redes. Los encaminadores son las entidades que conectan las redes entre s. Un encaminador es un equipo que tiene dos o ms interfaces de red e
implementa el reenvo de IP. Sin embargo, el sistema no puede funcionar como encaminador hasta que est configurado tal como se describe en Configuracin de un encaminador IPv4 en la pgina 122. Los encaminadores conectan dos o ms redes para formar interredes mayores. Los encaminadores deben configurarse para transferir paquetes entre dos redes adyacentes. Los encaminadores tambin deben poder transferir paquetes a redes que se encuentran fuera de las redes adyacentes. La figura siguiente muestra las partes bsicas de una topologa de red. La primera ilustracin muestra una configuracin sencilla de dos redes conectadas por un nico encaminador. La segunda ilustracin muestra una configuracin de tres redes, interconectadas por dos encaminadores. En el primer ejemplo, el encaminador R une la red 1 y la red 2 en una interred mayor. En el segundo ejemplo, el encaminador 1 conecta las redes 1 y 2. El encaminador R2 conecta las redes 2 y 3. Las conexiones de una red que incluye las redes 1, 2 y 3.
Dos redes conectadas mediante un encaminador
Red 1
Red 2
Tres redes conectadas mediante dos encaminadores
Red 1
R1
Red 2
R2
Red 3
FIGURA 23
Topologa de red bsica
Adems de unir las redes en interredes, los encaminadores transfieren los paquetes entre las redes que se basan en las direcciones de la red de destino. A medida que las interredes se hacen ms complejas, cada encaminador debe tomar ms decisiones sobre los destinos de los paquetes. La figura siguiente muestra un caso ms complejo. El encaminador R3 conecta las redes 1 y 3. La redundancia aumenta la fiabilidad. Si la red 2 no funciona, el encaminador R3 continua proporcionando una ruta entre las redes 1 y 3. Se pueden interconectar muchas redes. No obstante, las redes deben utilizar los mismos protocolos de red.
67
R3
Red
R1
Red
R2
Red
FIGURA 24
Topologa de red que proporciona una ruta adicional entre las redes
Cmo transfieren los paquetes los encaminadores

La direccin IP del receptor, que forma parte del encabezado del paquete, determina el modo en que se encamina el paquete. Si esta direccin incluye el nmero de red de la red local, el paquete va directamente al host con esa direccin IP. Si el nmero de red no es la red local, el paquete va al encaminador de la red local. Los encaminadores contienen informacin de encaminamiento en las tablas de encaminamiento. Estas tablas contienen la direccin IP de los hosts y encaminadores de las redes a las que est conectado el encaminador. Las tablas tambin contienen punteros a esas redes. Cuando un encaminador recibe un paquete, comprueba su tabla de encaminamiento para determinar si la tabla incluye la direccin de destino en el encabezado. Si la tabla no contiene la direccin de destino, el encaminador enva el paquete a otro encaminador que aparezca en la tabla de encaminamiento. Si desea ms informacin sobre los encaminadores, consulte Configuracin de un encaminador IPv4 en la pgina 122. La figura siguiente muestra una topologa de red con tres redes que estn conectadas con dos encaminadores.
68
Host A 192.9.200.15
Host B 192.9.202.10
Red 192.9.200
Red 192.9.201
Red 192.9.202
Encaminador R1
Encaminador R2
FIGURA 25
Topologa de red con tres redes interconectadas
El encaminador R1 conecta las redes 192.9.200 y 192.9.201. El encaminador R2 conecta las redes 192.9.201 y 192.9.202. Si el host A de la red 192.9.200 enva un mensaje al host B de la red 192.9.202, tienen lugar los siguientes eventos: 1. El host A enva un paquete a travs de la red 192.9.200. El encabezado del paquete contiene la direccin IPv4 del host B receptor, 192.9.202.10. 2. Ninguno de los equipos de la red 192.9.200 tiene la direccin IPv4 192.9.202.10. Por tanto, el encaminador R1 acepta el paquete. 3. El encaminador R1 examina sus tablas de encaminamiento. Ningn equipo de la red 192.9.201 tiene la direccin 192.9.202.10. Sin embargo, las tablas de encaminamiento incluyen el encaminador R2. 4. A continuacin, R1 selecciona R2 como encaminador para el "siguiente salto". R1 enva el paquete a R2. 5. Dado que R2 conecta la red 192.9.201 con 192.9.202, R2 tiene la informacin de encaminamiento para el host B. A continuacin, el encaminador R2 enva el paquete a la red 192.9.202, en la que el host B acepta el paquete.
69
70
C A P T U L O
Introduccin a IPv6 (descripcin general)
Este captulo presenta una descripcin general de la implementacin de Solaris IPv6 (Internet Protocol versin 6). Dicha implementacin se compone del daemon asociado y utilidades compatibles con el espacio de direcciones IPv6. Las direcciones IPv6 e IPv4 coexisten en el entorno de redes de Solaris. Los sistemas que se configuran con direcciones IPv6 mantienen sus direcciones IPv4, en caso de que tales direcciones ya existan. Las operaciones en que intervienen direcciones IPv6 no repercuten negativamente en operaciones de IPv4 y viceversa. Se abordan los siguientes temas principales:

Caractersticas principales de IPv6 en la pgina 72 Descripcin general de las redes IPv6 en la pgina 75 Descripcin general de las direcciones IPv6 en la pgina 76 Descripcin general del protocolo ND de IPv6 en la pgina 83 Configuracin automtica de direcciones IPv6 en la pgina 84 Descripcin general sobre los tneles de IPv6 en la pgina 85
Para obtener ms informacin relativa a IPv6, consulte los captulos siguientes:

Planificacin de redes IPv6: Captulo 4, Planificacin de una red IPv6 (tareas) Tareas relacionadas con IPv6: Captulo 7, Configuracin de una red IPv6 (tareas). y Captulo 8, Administracin de redes TCP/IP (tareas). Informacin detallada de IPv6: Captulo 11, IPv6 en profundidad (referencia)
71
Caractersticas principales de IPv6

La caracterstica que distingue a IPv6 es un mayor espacio de direccin comparado con IPv4. Asimismo, IPv6 mejora la capacidad en Internet en numerosos aspectos, como se explica brevemente en esta seccin.
Direcciones ampliadas
El tamao de direcciones IP pasa de 32 bits en IPv4 a 128 bits en IPv6, para permitir ms niveles en la jerarqua de direcciones. Aparte, IPv6 proporciona muchos ms sistemas IPv6 con direcciones. Para obtener ms informacin, consulte Descripcin general de las direcciones IPv6 en la pgina 76.
Configuracin automtica de direcciones y descubrimiento de vecinos

El protocolo ND (Neighbor Discovery, descubrimiento de vecinos) de IPv6 facilita la configuracin automtica de direcciones IPv6. La configuracin automtica consiste en la capacidad de un host de IPv6 de generar automticamente sus propias direcciones IPv6, cosa que facilita la administracin de direcciones y supone un ahorro de tiempo. Para obtener ms informacin, consulte Configuracin automtica de direcciones IPv6 en la pgina 84. El protocolo ND se corresponde con una combinacin de los siguientes protocolos IPv4: Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP), Router Discovery (RDISC), e ICMP Redirect. Los encaminadores de IPv6 utilizan el protocolo ND para anunciar el prefijo de sitio de IPv6. Los hosts de IPv6 utilizan el descubrimiento de vecinos con varias finalidades, entre las cuales est solicitar el prefijo de un encaminador de IPv6. Para obtener ms informacin, consulte Descripcin general del protocolo ND de IPv6 en la pgina 83.
Simplificacin del formato del encabezado

El formato del encabezado de IPv6 prescinde o convierte en opcionales determinados campos de encabezado de IPv4. Pese al mayor tamao de las direcciones, este cambio hace que el encabezado de IPv6 consuma el mnimo ancho de banda posible. Aunque las direcciones IPv6 son cuatro veces mayores que las direcciones IPv4, el encabezado de IPv6 slo tiene el doble de tamao que el encabezado de IPv4.
Ms posibilidades en las opciones de encabezado de IP

Los cambios en la forma de codificar las opciones de encabezado de IP permiten un reenvo ms eficaz. Asimismo, las opciones de IPv6 presentan unos lmites de longitud menos estrictos. Los cambios aportan una mayor flexibilidad a la hora de incorporar opciones nuevas en el futuro.
Compatibilidad de aplicaciones con direcciones IPv6

Muchos de los principales servicios de red de Solaris reconocen y admiten direcciones IPv6; por ejemplo:
Servicios de nombres como DNS, LDAP y NIS. Para obtener ms informacin sobre la compatibilidad de IPv6 con estos servicios de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). Aplicaciones de autenticacin y proteccin de la privacidad, por ejemplo IP Security Architecture (IPsec) e Internet Key Exchange (IKE). Para obtener ms informacin, consulte la Parte IV. Servicios diferenciados, como los que proporciona IP Quality of Service (IPQoS). Para obtener ms informacin, consulte la Parte VII. Deteccin de fallos y funcionamiento a prueba de fallos, como se proporciona mediante IP multirruta de redes (IPMP). Para obtener ms informacin, consulte la Parte VI.
Otros recursos de IPv6

Adems de esta parte, hay informacin adicional sobre IPv6 en las fuentes que se citan en las secciones siguientes.
Peticin de comentarios IPv6 y borradores de Internet

Hay disponibles numerosas RFC referidas a IPv6. En la tabla siguiente aparecen los principales artculos y sus ubicaciones Web de Internet Engineering Task Force (IETF) a partir de su escritura.
Captulo 3 Introduccin a IPv6 (descripcin general)
73
TABLA 31
Borradores de Internet y RFC relativos a IPv6

Tema Ubicacin
RFC o borrador de Internet
RFC 2461, Neighbor Discovery for IP Version 6 (IPv6)
Describe las caractersticas y funciones del protocolo ND (descubrimiento de vecinos) de IPv6
http://www.ietf.org/rfc/rfc2461.txt$number=2461 (http:// www.ietf.org/rfc/rfc2461.txt?number-2461)
RFC 3306, Describe el formato y los tipos ftp://ftp.rfc-editor.org/in-notes/rfc3306.txt (ftp://ftp.rfc-editor.org/ UnicastPrefixBased de direcciones IPv6 in-notes/rfc3306.txt) IPv6 Multicast Addresses multidifusin RFC 3484: Default Address Selection for Internet Protocol version 6 (IPv6) Describe los algoritmos que se http://www.ietf.org/rfc/rfc3484?number=3484 (http://www.ietf.org/ usan en la seleccin de rfc/rfc3484.txt?number=3484) direcciones predeterminadas de IPv6 http://www.ietf.org/rfc/rfc3513.txt?number=3513 (http:// www.ietf.org/rfc/rfc3513.txt?number=3513)
RFC 3513, Internet Contiene informacin Protocol version 6 (IPv6) exhaustiva sobre los tipos de Addressing Architecture direcciones IPv6 con abundantes ejemplos RFC 3587, IPv6 Global Unicast Address Format
Define el formato estndar de http://www.ietf.org/rfc/rfc3587.txt?number=3587 (http:// las direcciones IPv6 www.ietf.org/rfc/rfc3587.txt?number=3587) unidifusin
Sitios web
Los sitios web siguientes aportan informacin til sobre IPv6.
TABLA 32 Sitio web
Sitios web relacionados con IPv6

Descripcin Ubicacin
Foro de IPv6
En este sitio web hay vnculos a presentaciones, eventos, clases e implementaciones sobre IPv6 en todo el mundo
http://www.ipv6forum.com
Grupo de trabajo de La pgina inicial de este grupo de IPv6 de Internet trabajo de IETF proporciona Educational Task Force vnculos a todos los borradores de Internet y RFC importantes relacionados con IPv6
http://www.ietf.org/html.charters/ipv6-charter.html
74
Descripcin general de las redes IPv6
Descripcin general de las redes IPv6

En esta seccin se presentan trminos bsicos en la topologa de redes IPv6. En la figura siguiente se muestran los componentes bsicos de una red IPv6.
Subred 8b
Host
Vnculo 1
Host
Host Encaminador Vnculo 2 Subred 8a Encaminador
Host Encaminador Vnculo 3 DMZ Vnculo 4 Subred 8c Encaminador de lmite Tnel de IPv6 ISP
Internet
FIGURA 31
Componentes bsicos de una red IPv6
La figura ilustra una red IPv6 y sus conexiones con un ISP. La red interna consta de los vnculos 1, 2, 3 y 4. Los hosts rellenan los vnculos y un encaminador los termina. El vnculo 4, considerado la DMZ de la red, queda terminado en un extremo por el encaminador de lmite. El encaminador de lmite ejecuta un tnel IPv6 a un ISP, que ofrece conexin a Internet para la red. Los vnculos 2 y 3 se administran como subred 8a. La subred 8b tan slo consta de sistemas en el vnculo 1. La subred 8c es contigua a la DMZ del vnculo 4. Como se muestra en la Figura 31, una red IPv6 tiene prcticamente los mismos componentes que una red IPv4. No obstante, la terminologa de IPv6 presenta ligeras diferencias respecto a la de IPv4. A continuacin se presenta una serie de trminos sobre componentes de red empleados en un contexto de IPv6.
75
Descripcin general de las direcciones IPv6
nodo
Sistema con una direccin IPv6 y una interfaz configurada para admitir IPv6. Trmino genrico que se aplica a hosts y encaminadores. Nodo que reenva paquetes de IPv6. Para admitir IPv6, debe configurarse como mnimo una de las interfaces del encaminador. Un encaminador de IPv6 tambin puede anunciar el prefijo de sitio IPv6 registrado para la empresa en la red interna. Nodo con una direccin IPv6. Un host IPv6 puede tener configurada ms de una interfaz para que sea compatible con IPv6. Al igual que en IPv4, los hosts de IPv6 no reenvan paquetes. Un solo soporte contiguo de red conectado por un encaminador en cualquiera de sus extremos. Nodo de IPv6 que se encuentra en el mismo vnculo que el nodo local. Segmento administrativo de una red IPv6. Los componentes de una subred IPv6 se pueden corresponder directamente con todos los nodos de un vnculo, igual que en IPv4. Si es preciso, los nodos de un vnculo se pueden administrar en subredes independientes. Adems, IPv6 no permite subredes multivnculo, en las cuales los nodos de vnculos distintos pueden ser componentes de una sola subred. Los vnculos 2 y 3 de la Figura 31 son componentes de la subred 8a multivnculo. Tnel que proporciona una ruta de extremo a extremo virtual entre un nodo de IPv6 y otro punto final de nodo de IPv6. IPv6 permite la configuracin manual de tneles y automtica de tneles de 6to4. Encaminador en el lmite de una red que proporciona un extremo del tnel de IPv6 a un punto final fuera de la red local. Este encaminador debe tener como mnimo una interfaz de IPv6 a la red interna. En cuanto a la red externa, el encaminador puede tener una interfaz de IPv6 o IPv4.
encaminador de IPv6
host de IPv6
vnculo vecino subred IPv6
tnel de IPv6
encaminador de lmite

Las direcciones IPv6 se asignan a interfaces en lugar de a nodos, teniendo en cuenta que en un nodo puede haber ms de una interfaz. Asimismo, se puede asignar ms de una direccin IPv6 a una interfaz.
76
Nota Para obtener informacin referente a aspectos tcnicos sobre el formato de direccin
IPv6, consulte RFC 2374, IPv6 Global Unicast Address Format (http://www.ietf.org/rfc/ rfc2374.txt?number=2374) IPv6 abarca tres clases de direcciones: unidifusin multidifusin Identifica una interfaz de un solo nodo. Identifica un grupo de interfaces, en general en nodos distintos. Los paquetes que se envan a una direccin multidifusin se dirigen a todos los miembros del grupo de multidifusin. Identifica un grupo de interfaces, en general en nodos distintos. Los paquetes que se envan a una direccin de difusin por proximidad de dirigen al nodo de miembros del grupo de difusin por proximidad que se encuentre ms cerca del remitente.
difusin por proximidad
Partes de una direccin IPv6

Una direccin IPv6 tiene un tamao de 128 bits y se compone de ocho campos de 16 bits, cada uno de ellos unido por dos puntos. Cada campo debe contener un nmero hexadecimal, a diferencia de la notacin decimal con puntos de las direcciones IPv4. En la figura siguiente, las equis representan nmeros hexadecimales.
X:X:X:X X:X:X:X Prefijo ID de interfaz
ID de subred Ejemplo: 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b Prefijo de sitio

FIGURA 32
ID de subred
ID de interfaz
Formato bsico de las direcciones IPv6
77
Los tres campos que estn ms a la izquierda (48 bits) contienen el prefijo de sitio. El prefijo describe la topologa pblica que el ISP o el RIR (Regional Internet Registry, Registro Regional de Internet) suelen asignar al sitio. El campo siguiente lo ocupa el ID de subred de 16 bits que usted (u otro administrador) asigna al sitio. El ID de subred describe la topologa privada, denominada tambin topologa del sitio, porque es interna del sitio. Los cuatro campos situados ms a la derecha (64 bits) contienen el ID de interfaz, tambin denominado token. El ID de interfaz se configura automticamente desde la direccin MAC de interfaz o manualmente en formato EUI-64. Examine de nuevo la direccin de la figura Figura 32: 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b En este ejemplo se muestran los 128 bits completos de una direccin IPv6. Los primeros 48 bits, 2001:0db8:3c4d, contienen el prefijo de sitio y representan la topologa pblica. Los siguientes 16 bits, 0015, contienen el ID de subred y representan la topologa privada del sitio. Los 64 bits que estn ms a la derecha, 0000:0000:1a2f:1a2b, contienen el ID de interfaz.
Abreviacin de direcciones IPv6

La mayora de las direcciones IPv6 no llegan a alcanzar su tamao mximo de 128 bits. Eso comporta la aparicin de campos rellenados con ceros o que slo contienen ceros. La arquitectura de direcciones IPv6 permite utilizar la notacin de dos puntos consecutivos (: :) para representar campos contiguos de 16 bits de ceros. Por ejemplo, la direccin IPv6 de la Figura 32 se puede abreviar reemplazando los dos campos contiguos de ceros del ID de interfaz por dos puntos. La direccin resultante es 2001:0db8:3c4d:0015::1a2f:1a2b. Otros campos de ceros pueden representarse como un nico 0. Asimismo, puede omitir los ceros que aparezcan al inicio de un campo, como por ejemplo cambiar 0db8 por db8. As pues, la direccin 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b se puede abreviar en 2001:db8:3c4d:15::1a2f:1a2b. La notacin de los dos puntos consecutivos se puede emplear para reemplazar cualquier campo contiguo de ceros de la direccin IPv6. Por ejemplo, la direccin IPv6 2001:0db8:3c4d:0015:0000:d234::3eee:0000 se puede contraer en 2001:db8:3c4d:15:0:d234:3eee::.
78
Prefijos de IPv6
Los campos que estn ms a la izquierda de una direccin IPv6 contienen el prefijo, que se emplea para encaminar paquetes de IPv6. Los prefijos de IPv6 tienen el formato siguiente: prefijo/tamao en bits El tamao del prefijo se expresa en notacin CIDR (encaminamiento entre dominios sin clase). La notacin CIDR consiste en una barra inclinada al final de la direccin, seguida por el tamao del prefijo en bits. Para obtener informacin sobre direcciones IP en formato CIDR, consulte Cmo disear un esquema de direcciones IPv4 CIDR en la pgina 61. El prefijo de sitio de una direccin IPv6 ocupa como mximo los 48 bits de la parte ms a la izquierda de la direccin IPv6. Por ejemplo, el prefijo de sitio de la direccin IPv6 2001:db8:3c4d:0015:0000:0000:1a2f:1a2b/48 se ubica en los 48 bits que hay ms a la izquierda, 2001:db8:3c4d. Utilice la representacin siguiente, con ceros comprimidos, para representar este prefijo: 2001:db8:3c4d::/48
Nota 2001:db8::/32 es un prefijo especial de IPv6 que se emplea especficamente en ejemplos
de documentacin. Tambin se puede especificar un prefijo de subred, que define la topologa interna de la red respecto a un encaminador. La direccin IPv6 de ejemplo tiene el siguiente prefijo de subred: 2001:db8:3c4d:15::/64 El prefijo de subred siempre contiene 64 bits. Estos bits incluyen 48 del prefijo de sitio, adems de 16 bits para el ID de subred. Los prefijos siguientes se han reservado para usos especiales: 2002::/16 fe80::/10 ff00::/8 Indica que sigue un prefijo de encaminamiento de 6to4. Indica que sigue una direccin local de vnculo. Indica que sigue una direccin multidifusin.
Direcciones unidifusin
IPv6 incluye dos clases de asignaciones de direcciones unidifusin:

Direccin unidifusin global Direccin local de vnculo

79
El tipo de direccin unidifusin viene determinado por los bits contiguos que estn ms a la izquierda (orden superior) de la direccin, los cuales contienen el prefijo. El formato de direcciones unidifusin se organiza conforme a la jerarqua siguiente:

Topologa pblica Topologa de sitio (privada) ID de interfaz
Direccin unidifusin global

La direccin unidifusin global es globalmente exclusiva de Internet. La direccin IPv6 de ejemplo que hay en Prefijos de IPv6 en la pgina 79 es de unidifusin global. En la figura siguiente se muestra el mbito de la direccin unidifusin global, en comparacin con las partes que componen la direccin IPv6.
Topologa pblica
Topologa de sitio
2001.0db8:3c4d:0015:0000:0000:1a2f:1a2b Prefijo de sitio

FIGURA 33
ID de subred
ID de interfaz
Partes de la direccin unidifusin global
Topologa pblica
El prefijo de sitio define la topologa pblica de la red respecto a un encaminador. El ISP o el RIR proporcionan el prefijo de sitio a las empresas.
Topologa de sitio y subredes IPv6

En IPv6, el ID de subred define una subred administrativa de la red y tiene un tamao mximo de 16 bits. Un ID de subred se asigna como parte de la configuracin de redes IPv6. El prefijo de subred define la topologa de sitio respecto a un encaminador especificando el vnculo al que se ha asignado la subred. Desde un punto de vista conceptual, las subredes IPv6 y las IPv4 son iguales en el sentido de que cada subred suele asociarse con solo vnculo de hardware. Sin embargo, los ID de subredes IPv6 se expresan en notacin hexadecimal, en lugar de decimal con puntos.
80
ID de interfaz
El ID de interfaz identifica una interfaz de un determinado nodo. Un ID de interfaz debe ser exclusivo en la subred. Los hosts de IPv6 pueden aplicar el protocolo ND para generar automticamente sus propios ID de interfaz. El protocolo ND genera de forma automtica el ID de interfaz, a partir de la direccin MAC o la direccin EUI-64 de la interfaz del host. Los ID de interfaz tambin se pueden asignar manualmente, lo cual es preferible en el caso de encaminadores de IPv6 y servidores habilitados para IPv6. Si desea obtener instrucciones sobre cmo crear manualmente direcciones EUI-3513, consulte RFC 3513 Internet Protocol Version 6 (IPv6) Addressing Architecture.
Direcciones unidifusin globales de transicin

Por motivos de transicin, el protocolo IPv6 incluye la posibilidad de incrustar una direccin IPv4 en una direccin IPv6. Esta clase de direccin IPv4 facilita la colocacin en tneles de paquetes IPv6 en redes IPv4 ya configuradas. La direccin 6to4 es un ejemplo de direccin unidifusin global de transicin. Para obtener ms informacin sobre direcciones 6to4, consulte Tneles automticos 6to4 en la pgina 307.
Direccin unidifusin local de vnculo

La direccin unidifusin local de vnculo slo se puede utilizar en el vnculo de red local. Las direcciones locales de vnculo no son vlidas ni se reconocen fuera del mbito corporativo u organizativo. A continuacin se muestra un ejemplo del formato que tienen las direcciones locales de vnculo.
EJEMPLO 31
Partes de la direccin unidifusin local de vnculo
Formato:
Prefijo local de vnculo 10 bits
0 64 bits
ID de interfaz 54 bits
Ejemplo: fe80::123e:456d
Un prefijo local de vnculo presenta el formato siguiente: fe80::ID_interfaz/10 A continuacin se muestra una direccin local de vnculo: fe80::23a1:b152
81
fe80 ID_interfaz
Representacin hexadecimal del prefijo binario de 10 bits 1111111010. Este prefijo identifica el tipo de direccin IPv6 como direccin local de vnculo. Direccin hexadecimal de la interfaz, que en general se deriva de la direccin MAC de 48 bits.
Al habilitar IPv6 durante la instalacin de Solaris, la interfaz con el nmero ms bajo del equipo local se configura con una direccin local de vnculo. Cada interfaz necesita por lo menos una direccin local de vnculo para identificar el nodo en los dems nodos del vnculo local. As pues, las direcciones locales de vnculo deben configurarse manualmente para las interfaces adicionales de un nodo. Tras la configuracin, el nodo utiliza sus direcciones locales de vnculo para la configuracin automtica de direcciones y el descubrimiento de vecinos.
Direcciones multidifusin
IPv6 permite el uso de direcciones multidifusin. La direccin multidifusin identifica un grupo de multidifusin, que es un grupo de interfaces, en general en nodos distintos. Una interfaz puede pertenecer a cualquier cantidad de grupos de multidifusin. Si los primeros 16 bits de una direccin IPv6 son ff00 n, la direccin es del tipo multidifusin. Las direcciones multidifusin se usan para el envo de informacin o servicios a todas las interfaces que se definen como miembros del grupo de multidifusin. Por ejemplo, uno de los usos de las direcciones multidifusin es comunicarse con todos los nodos de IPv6 del vnculo local. Al crearse la direccin unidifusin IPv6 de una interfaz, el ncleo convierte automticamente la interfaz en miembro de determinados grupos de multidifusin. Por ejemplo, el ncleo convierte cada nodo en un miembro del grupo de multidifusin del nodo solicitado, que utiliza el protocolo ND para detectar la accesibilidad. El ncleo convierte automticamente tambin un nodo en miembro de los grupos de multidifusin de todos los nodos o todos los encaminadores. Para obtener informacin exhaustiva sobre direcciones multidifusin, consulte Direcciones multidifusin IPv6 en profundidad en la pgina 276. Para obtener informacin sobre aspectos tcnicos, consulte RFC 3306, Unicast-Prefix-based IPv 6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/rfc3306.txt), donde se explica el formato de direcciones multidifusin. Para obtener ms informacin sobre el uso adecuado de grupos y direcciones multidifusin, consulte RFC 3307, Allocation Guidelines for IPv 6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/rfc3307.txt).
82
Descripcin general del protocolo ND de IPv6
Grupos y direcciones de difusin por proximidad

Las direcciones de difusin por proximidad IPv6 identifican un grupo de interfaces en distintos nodos de IPv6. Cada grupo de interfaces se denomina grupo de difusin por proximidad. Cuando se enva un paquete al grupo de difusin por proximidad, recibe el paquete el miembro del grupo que est ms prximo al remitente.
Nota La implementacin de IPv6 en el sistema operativo Solaris no permite la creacin de
direcciones ni grupos de difusin por proximidad. Ahora bien, los nodos de IPv6 de Solaris pueden enviar paquetes a direcciones de difusin por proximidad. Para obtener ms informacin, consulte Consideraciones para tneles hasta un encaminador de reenvo 6to4 en la pgina 310.
Descripcin general del protocolo ND de IPv6

IPv6 aporta el protocolo ND (Neighbor Discovery, descubrimiento de vecinos), que emplea la mensajera como medio para controlar la interaccin entre nodos vecinos. Por nodos vecinos se entienden los nodos de IPv6 que estn en el mismo vnculo. Por ejemplo, al emitir mensajes relativos al descubrimiento de vecinos, un nodo puede aprender la direccin local de vnculo de un vecino. El protocolo ND controla las principales actividades siguientes del vnculo local de IPv6:
Descubrimiento de encaminadores: ayuda a los hosts a detectar encaminadores en el vnculo local. Configuracin automtica de direcciones: permite que un nodo configure de manera automtica direcciones IPv6 para sus interfaces. Descubrimiento de prefijos: posibilita que los nodos detecten los prefijos de subred conocidos que se han asignado a un vnculo. Los nodos utilizan prefijos para distinguir los destinos que se encuentran en el vnculo local de los asequibles nicamente a travs de un encaminador. Resolucin de direcciones: permite que los nodos puedan determinar la direccin local de vnculo de un vecino solamente a partir de la direccin IP de los destinos. Determinacin de salto siguiente: utiliza un algoritmo para establecer la direccin IP de un salto de destinatario de paquetes que est ms all del vnculo local. El salto siguiente puede ser un encaminador o el nodo de destino. Deteccin de inasequibilidad de vecinos: ayuda a los nodos a establecer si un nodo ya no es asequible. La resolucin de direcciones puede repetirse tanto en encaminadores como hosts. Deteccin de direcciones duplicadas: permite que un nodo pueda determinar si est en uso o no una direccin que el nodo tenga la intencin de utilizar.
83
Configuracin automtica de direcciones IPv6
Redireccin: un encaminador indica a un host el mejor nodo de primer salto que se puede usar para acceder a un determinado destino.
El protocolo ND emplea los tipos de mensajes ICMP siguientes para la comunicacin entre los nodos de un vnculo:

Solicitud de encaminador Anuncio de encaminador Solicitud de vecino Anuncio de vecino Redireccin
Para obtener informacin exhaustiva sobre mensajes de protocolo ND y otros temas relativos a dicho protocolo, consulte Protocolo ND de IPv6 en la pgina 295. Para obtener informacin sobre aspectos tcnicos sobre Neighbor Discovery (ND), consulte RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/rfc2461.txt?number=2461).
Configuracin automtica de direcciones IPv6

Una de las caractersticas principales de IPv6 es la capacidad que tiene un host de configurar automticamente una interfaz. Mediante el protocolo ND, el host busca un encaminador de IPv6 en el vnculo local y solicita un prefijo de sitio. Como parte del proceso de configuracin automtica, el host lleva a cabo los pasos siguientes:
Crea una direccin local de vnculo para cada interfaz, lo cual no precisa un encaminador en el vnculo. Verifica la exclusividad de una direccin en un vnculo, lo cual no precisa un encaminador en el vnculo. Determina si las direcciones globales deben obtenerse a partir del mecanismo con estado, sin estado o ambos. (Precisa un encaminador en el vnculo.)
Descripcin general de configuracin automtica sin estado

La configuracin automtica no necesita la configuracin manual de hosts, una configuracin mnima de encaminadores (si los hay) ni servidores adicionales. El mecanismo sin estado permite que un host genere sus propias direcciones. Para generar las direcciones, el mecanismo sin estado utiliza la informacin local y la no local anunciada por los encaminadores. Pueden implementarse direcciones temporales en una interfaz, configuradas tambin de manera automtica. Se puede habilitar un token de direcciones temporales para una o varias interfaces en un host. Sin embargo, a diferencia de las direcciones IPv6 estndar configuradas
Descripcin general sobre los tneles de IPv6
automticamente, una direccin temporal consta del prefijo de sitio y un nmero de 64 bits generado aleatoriamente. Ese nmero aleatorio constituye la parte del ID de interfaz de la direccin IPv6. Una direccin local de vnculo no se genera con la direccin temporal como ID de interfaz. Los encaminadores anuncian todos los prefijos que se han asignado al vnculo. Los hosts de IPv6 emplean el protocolo ND para obtener un prefijo de subred a partir de un encaminador local. Los hosts crean direcciones IPv6 automticamente combinando el prefijo de subred con un ID de interfaz que se genera a partir de la direccin MAC de una interfaz. Si no hay encaminadores, un host puede generar nicamente direcciones locales de vnculo. Las direcciones locales de vnculo slo son aptas para comunicaciones con nodos del mismo vnculo.
Nota La configuracin automtica de direcciones sin estado no debe usarse para crear las direcciones IPv6 de servidores. Los hosts generan automticamente unos ID de interfaz que se basan en informacin especfica del hardware durante la configuracin automtica. El ID de interfaz actual puede llegar a invalidarse si la interfaz vigente se intercambia con una interfaz nueva.

En la mayora de las empresas, la implantacin de IPv6 en una red IPv4 ya configurada debe realizarse de manera gradual y por fases. El entorno de redes de pila doble de Solaris permite el funcionamiento compatible de IPv4 e IPv6. Debido a que casi todas las redes emplean el protocolo IPv4, en la actualidad las redes IPv6 necesitan una forma de comunicarse ms all de sus lmites. Para ello, las redes IPv6 se sirven de los tneles. En buena parte de las situaciones hipotticas para tneles de IPv6, el paquete de IPv6 saliente se encapsula en un paquete de IPv4. El encaminador de lmite de la red IPv6 configura un tnel de extremo a extremo a travs de varias redes IPv4 hasta el encaminador de lmite de la red IPv6 de destino. El paquete se desplaza por el tnel en direccin al encaminador de lmite de la red de destino, que se encarga de desencapsular el paquete. A continuacin, el encaminador reenva el paquete IPv6 desencapsulado al nodo de destino. La implementacin de IPv6 en Solaris permite las siguientes situaciones hipotticas de configuracin de tneles:
Tnel configurado manualmente entre dos redes IPv6, a travs de una red IPv4. La red IPv4 puede ser Internet o una red local dentro de una empresa. Tnel configurado manualmente entre dos redes IPv4, a travs de una red IPv6, en general dentro de una empresa.
85
Tnel de 6to4 configurado dinmicamente entre dos redes IPv6, a travs de una red IPv4 de una empresa o por Internet.
Para obtener ms informacin sobre los tneles de IPv6, consulte Tneles de IPv6 en la pgina 303. Para obtener ms informacin relativa a tneles de IPv4 a IPv4 y redes privadas virtuales, consulte Redes privadas virtuales e IPsec en la pgina 519.
86
C A P T U L O
Planificacin de una red IPv6 (tareas)
Implementar IPv6 en una red nueva o ya configurada supone un importante esfuerzo de planificacin. En este captulo se presentan las tareas principales imprescindibles para poder configurar IPv6. En el caso de redes ya configuradas, la implementacin de IPv6 se debe establecer por fases. Los temas de este captulo ayudan a implantar IPv6 en fases en una red que, por otro lado, es de slo IPv4. En este captulo se tratan los temas siguientes:

Planificacin de IPv6 (mapas de tareas) en la pgina 87 Situacin hipottica de topologa de red IPv6 en la pgina 89 Preparacin de la red ya configurada para admitir IPv6 en la pgina 90 Preparacin de un plan de direcciones IPv6 en la pgina 95
Para obtener una introduccin a los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin detallada, consulte el Captulo 11, IPv6 en profundidad (referencia).
Planificacin de IPv6 (mapas de tareas)

Efecte en el orden que se indica las tareas del mapa de tareas siguiente para realizar las tareas de planificacin relativas la implementacin de IPv6.
Tarea Descripcin Para obtener instrucciones
1. Preparar el hardware para admitir IPv6.
Compruebe que el hardware se pueda actualizar Preparacin de la topologa red para admitir a IPv6. IPv6 en la pgina 90
87
Planificacin de IPv6 (mapas de tareas)
Tarea
Descripcin
Para obtener instrucciones
2. Disponer de un ISP que admita IPv6.
Compruebe que el ISP que utiliza admita IPv6. De no ser as, busque uno que sea compatible con IPv6. Puede utilizar dos ISP, uno para IPv6 y otro para comunicaciones de IPv4. Verifique que las aplicaciones puedan funcionar Cmo preparar servicios de red para admitir IPv6 en la pgina 92 en un entorno IPv6. Solicite al ISP o al RIR ms prximo un prefijo de sitio de 48 bits. Obtencin de un prefijo de sitio en la pgina 95
3. Comprobar que las aplicaciones estn preparadas para funcionar con IPv6. 4. Disponer de prefijo de sitio. 5. Crear un plan de direcciones de subredes.
Se debe planificar la topologa de red IPv6 global Creacin de un esquema de numeracin para y el esquema de direcciones para poder subredes en la pgina 95 configurar IPv6 en los distintos nodos de la red. Planificacin de tneles en la topologa de red en la pgina 93
6. Disear un plan para el uso de Establezca los encaminadores que deben tneles. ejecutar tneles a otras subredes o redes externas. 7. Crear un plan de direcciones para entidades de la red. 8. Desarrollar directrices de seguridad de IPv6.
Se debe planificar la direccin de servidores, Creacin de un plan de direcciones IPv6 para encaminadores y hosts antes de configurar IPv6. nodos en la pgina 96 A la hora de desarrollar directrices de seguridad de IPv6, consulte las funciones de filtro IP, arquitectura de seguridad IP (IPsec), Internet Key Exchange (IKE) y otras funciones de seguridad de Solaris. Por motivos de seguridad, se precisa un plan de direcciones para la DMZ y sus entidades antes de configurar IPv6. Configure IPv6 en todos los hosts y encaminadores. Compruebe que los servidores puedan admitir IPv6. Compruebe que los servidores DNS, NIS y LDAP se actualicen con las nuevas direcciones IPv6. Parte IV
9. (Opcional) Configurar una DMZ. 10. Habilitar los nodos para que admitan IPv6. 11. Activar servicios de red. 12. Actualizar nombres de servidor para la compatibilidad con IPv6.
Aspectos relacionados con la seguridad en la implementacin de IPv6 en la pgina 94 Configuracin de IPv6 en encaminadores (mapa de tareas) en la pgina 187 Tareas de administracin principales de TCP/IP (mapa de tareas) en la pgina 216 Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209
88
Situacin hipottica de topologa de red IPv6

Las tareas de todo el captulo explican la forma de planificar servicios de IPv6 en una red empresarial estndar. En la figura siguiente se muestra la red a la que se hace referencia a lo largo del captulo. La red IPv6 que se propone puede incluir varios o todos los vnculos que aparecen en esta figura.
Hosts
Hosts
Hosts
Servidor LDAP
Servidor Servidor de correo DNS IPv4 192.168.2.0 IPv6 Subred 2
IPv4 192.168.4.0 IPv6 Subred 4
Encaminador 2 Red central IPv4 192.168.1.0 IPv6 Subred 1 Encaminador Encaminador Encaminador Cortafuegos 172.16.85.0 IPv4 192.168.3.0 IPv6 Subred 3 Servidor NFS Encaminador 1 (lmite) Cortafuegos Servidor Web Servidor FTP
DMZ
ISP
Internet
FIGURA 41
Captulo 4 Planificacin de una red IPv6 (tareas)
89
Preparacin de la red ya configurada para admitir IPv6
La situacin hipottica de red empresarial se compone de cinco subredes con cuatro direcciones IPv4 ya configuradas. Los vnculos de la red se corresponden directamente con las subredes administrativas. Las cuatro redes internas se muestran con direcciones IPv4 privadas en formato RFC 1918, solucin habitual ante la falta de direcciones IPv4. Estas redes internas se basan en el siguiente esquema de direcciones:

La subred 1 es la red principal interna 192.168.1 . La subred 2 es la red interna 192.168.2, con LDAP, sendmail y servidores DNS. La subred 3 es la red interna 192.168.3, con los servidores NFS de la empresa. La subred 4 es la red interna 192.168.4, que contiene hosts para los empleados de la empresa.
La red pblica externa 172.16.85 funciona como DMZ de la corporacin. Esta red contiene servidores Web, servidores FTP annimos y dems recursos que la empresa ofrece al entorno exterior. El encaminador 2 ejecuta un servidor de seguridad y separa la red pblica 172.16.85 de la red principal interna. En el otro extremo de la DMZ, el encaminador 1 ejecuta un servidor de seguridad y acta como encaminador de lmite de la empresa. En la Figura 41, la DMZ pblica presenta la direccin privada RFC 1918 172.16.85. En un entorno real, la DMZ pblica debe tener registrada una direccin IPv4. La mayora de los sitios de IPv4 emplean una combinacin de direcciones pblicas y direcciones privadas RFC 1918. Sin embargo, en el mbito de IPv6 el concepto de direcciones pblicas y privadas es distinto. Debido a que IPv6 dispone de mucho ms espacio de direcciones, las direcciones pblicas IPv6 se utilizan en redes pblicas y privadas.

Nota La pila doble de protocolos de Solaris permite operaciones simultneas de IPv4 e IPv6.
Puede ejecutar sin ningn problema operaciones relacionadas con IPv4 en la red, durante la implementacin de IPv6 y tras sta. IPv6 incorpora funciones adicionales a una red ya configurada. As pues, la primera vez que implemente IPv6, compruebe que no se interrumpan las operaciones que funcionan con IPv4. Los temas que se tratan en esta seccin muestran detalladamente un procedimiento para incorporar IPv6 en una red ya configurada.
Preparacin de la topologa red para admitir IPv6

El primer paso al implementar IPv6 consiste en detectar las entidades de la red que sean compatibles con IPv6. La mayora de las veces, la implementacin de IPv6 no modifica la
topologa de red (cables, encaminadores y hosts). Ahora bien, antes de configurar direcciones IPv6 en interfaces de red, quiz deba preparar para IPv6 el hardware y las aplicaciones. Verifique que el hardware de la red se pueda actualizar a IPv6. Por ejemplo, consulte la documentacin de los fabricantes sobre la compatibilidad con IPv6 respecto a los siguientes tipos de hardware:

Encaminadores Servidores de seguridad Servidores Conmutadores
Nota Todos los procedimientos de esta parte dan por sentado que el equipo, en especial los encaminadores, se pueden actualizar a IPv6.
Algunos modelos de encaminador no se pueden actualizar a IPv6. Para obtener ms informacin y una solucin alternativa, consulte El encaminador IPv4 no puede actualizarse a IPv6 en la pgina 245.
Preparacin de servicios de red para admitir IPv6

Los siguientes servicios de red IPv4 tpicos de la versin actual de Solaris admiten IPv6:

sendmail NFS HTTP (Apache 2.x u Orion) DNS LDAP
El servicio de correo IMAP slo es apto para IPv4. Los nodos configurados para IPv6 pueden ejecutar servicios de IPv4. Al activar IPv6, no todos los servicios aceptan conexiones IPv6. Los servicios conectados a IPv6 aceptarn una conexin. Los servicios que no estn conectados a IPv6 seguirn funcionando con la mitad de IPv4 de la pila de protocolos. Al actualizar los servicios a IPv6 pueden surgir algunos problemas. Para obtener ms informacin, consulte Problemas tras la actualizacin de servicios a IPv6 en la pgina 245.
Preparacin de servidores para admitir IPv6

Debido a que los servidores se consideran hosts de IPv6, el protocolo ND configura automticamente sus direcciones IPv6. No obstante, muchos servidores tienen varias tarjetas de
Captulo 4 Planificacin de una red IPv6 (tareas) 91
interfaz de red que quiz tenga la intencin de extraer para mantener o reemplazar. Si se reemplaza una tarjeta de interfaz de red, el protocolo ND genera automticamente un ID de interfaz nuevo para dicha tarjeta. Algn servidor en concreto podra no aceptar este comportamiento. Por lo tanto, no descarte la configuracin manual de la parte correspondiente al ID de interfaz de las direcciones IPv6 en cada interfaz del servidor. Para obtener instrucciones, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196. Ms adelante, cuando deba reemplazar una tarjeta de interfaz de red, se aplica la direccin IPv6 que ya estaba configurada a la tarjeta nueva.
Cmo preparar servicios de red para admitir IPv6

Actualice los servicios de red siguientes para que admitan IPv6:

Servidores de correo Servidores NIS NFS

Nota LDAP admite IPv6 sin tener que realizar tareas de configuracin propias de IPv6.
Verifique que el hardware del servidor de seguridad ya est preparado para IPv6. Para obtener instrucciones, consulte la documentacin pertinente sobre servidores de seguridad. Verifique que otros servicios de la red se hayan conectado a IPv6. Para obtener ms informacin, consulte la publicidad adicional y la documentacin relativa al software. Si el sitio implementa los servicios siguientes, asegrese de haber tomado las medidas apropiadas:
Servidores de seguridad Para poder admitir IPv6, quiz deba incrementar la severidad de las directrices ya establecidas para IPv4. Para otros aspectos sobre seguridad, consulte Aspectos relacionados con la seguridad en la implementacin de IPv6 en la pgina 94.
Correo En los registros MX para DNS, quiz deba agregar la direccin IPv6 del servidor de correo. DNS Para cuestiones especficas de DNS, consulte Cmo preparar DNS para admitir IPv6 en la pgina 93.
92
IPQoS En un host, emplee las mismas directrices DiffServ que se usaban en IPv4. Para obtener ms informacin, consulte Mdulo Classifier en la pgina 903.
Audite los servicios de red que ofrezca un nodo antes de convertir a IPv6 dicho nodo.
Cmo preparar DNS para admitir IPv6

La versin actual de Solaris admite resolucin de DNS desde el lado del cliente y del servidor. Efecte el procedimiento siguiente con el fin de preparar IPv6 para servicios de DNS. Para obtener ms informacin relativa a la compatibilidad de DNS con IPv6, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Compruebe que el servidor DNS que ejecuta la resolucin de nombres recursivos est en una pila doble (IPv4 e IPv6) o slo en IPv4. En el servidor DNS, rellene la base de datos de DNS con los pertinentes registros AAAA de base de datos de IPv6 en la zona de reenvo.
Nota Los servidores que ejecutan varios servicios fundamentales necesitan atencin especial. Verifique que la red funcione correctamente. Compruebe tambin que todos los servicios fundamentales tengan conexin con IPv6. A continuacin, agregue la direccin IPv6 del servidor a la base de datos de DNS.
3 4
Incorpore los registros PTR relativos a los registros AAAA en la zona inversa. Agregue datos slo de IPv4, o de IPv6 e IPv4, en el registro NS que describe zonas.
Planificacin de tneles en la topologa de red

La implementacin de IPv6 permite varias configuraciones de tneles para actuar como mecanismos de transicin cuando la red migra a una combinacin de IPv4 e IPv6. Los tneles posibilitan la comunicacin entre redes IPv6 aisladas. Como en Internet se ejecuta mayoritariamente IPv4, los paquetes de IPv6 del sitio deben desplazarse por Internet a travs de tneles hacia las redes IPv6 de destino. A continuacin se presentan varias de las situaciones hipotticas ms destacadas sobre el uso de tneles en la topologa de red IPv6:
El ISP del que adquiere servicios IPv6 permite crear un tnel desde el encaminador de lmite del sitio hasta la red del ISP. La Figura 41 muestra un tnel de esta clase. En tal caso, se debe ejecutar IPv6 manual a travs de un tnel de IPv4.
93
Se administra una red distribuida de gran tamao con conectividad IPv4. Para conectar los sitios distribuidos que utilizan IPv6, puede ejecutar un tnel de 6to4 desde el encaminador de lmite de cada subred. En ocasiones, un encaminador de la infraestructura no se puede actualizar a IPv6. En tal caso, la alternativa es crear un tnel manual en el encaminador de IPv4 con dos encaminadores de IPv6 como puntos finales.
Para obtener informacin sobre configuracin de tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199. Para obtener informacin conceptual relativa a tneles, consulte Tneles de IPv6 en la pgina 303.
Aspectos relacionados con la seguridad en la implementacin de IPv6

Al implementar IPv6 en una red ya configurada, debe tener la precaucin de no poner en riesgo la seguridad del sitio. Durante la sucesivas fases en la implementacin de IPv6, tenga en cuenta los siguientes aspectos relacionados con la seguridad:

Los paquetes de IPv6 e IPv4 necesitan la misma cantidad de filtrado. A menudo, los paquetes de IPv6 pasan por un tnel a travs de un servidor de seguridad. Por lo tanto, debe aplicar cualquiera de las siguientes situaciones hipotticas:

Haga que el servidor de seguridad inspeccione el contenido en el tnel. Coloque un servidor de seguridad de IPv6 con reglas parecidas en el punto final del tnel del extremo opuesto.
Determinados mecanismos de transicin utilizan IPv6 en UDP a travs de tneles de IPv4. Dichos mecanismos pueden resultar peligrosos al cortocircuitarse el servidor de seguridad. Los nodos de IPv6 son globalmente asequibles desde fuera de la red empresarial. Si la directiva de seguridad prohbe el acceso pblico, debe establecer reglas ms estrictas con relacin al servidor de seguridad. Por ejemplo, podra configurar un servidor de seguridad con estado.
Este manual proporciona funciones de seguridad vlidas en una implementacin de IPv6.
La funcin de IPsec (IP architecture security, arquitectura de seguridad IP) posibilita la proteccin criptogrfica de paquetes IPv6. Para obtener ms informacin, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general). La funcin IKE (Internet Key Exchange, intercambio de claves en Internet) permite el uso de autenticacin de claves pblicas para paquetes de IPv6. Para obtener ms informacin, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general).
94
Preparacin de un plan de direcciones IPv6

Desarrollar un plan de direcciones es importante en la transicin de IPv4 a IPv6. Para esta tarea se necesitan los siguientes requisitos previos:

Obtencin de un prefijo de sitio en la pgina 95 Creacin del esquema de numeracin de IPv6 en la pgina 95
Obtencin de un prefijo de sitio

Debe obtenerse un prefijo de sitio antes de configurar IPv6. El prefijo de sitio se emplea en la derivacin de direcciones IPv6 para todos los nodos de la implementacin de IPv6. En Prefijos de IPv6 en la pgina 79 se proporciona una introduccin a los prefijos de sitio. Un ISP que admita IPv6 puede brindar a las empresas prefijos de sitio de IPv6 de 48 bits. Si el ISP slo admite IPv4, se puede buscar otro que sea compatible con IPv6 y mantener el ISP actual para IPv4. En tal caso, existen las siguientes soluciones alternativas. Para obtener ms informacin, consulte El ISP actual no admite IPv6 en la pgina 245. Si su organizacin es un ISP, los prefijos de sitio de sus clientes se obtienen del pertinente registro de Internet. Para obtener ms informacin, consulte la pgina de IANA (Internet Assigned Numbers Authority) (http://www.iana.org).
Creacin del esquema de numeracin de IPv6

A menos que la red IPv6 que se proponga sea totalmente nueva, la topologa de IPv4 ya configurada sirve de base para el esquema de numeracin de IPv6.
Creacin de un esquema de numeracin para subredes

Inicie el esquema de numeracin asignando las subredes IPv4 ya configuradas a subredes IPv6 equivalentes. Por ejemplo, fjese en las subredes de la Figura 41. Las subredes 14 utilizan la designacin de redes privadas IPv4 de RFC 1918 para los primeros 16 bits de sus direcciones, adems de los dgitos 14 para indicar la subred. A modo de ejemplo, suponga que el prefijo de IPv6 2001:db8:3c4d/48 se ha asignado al sitio. La tabla siguiente muestra la asignacin de prefijos de IPv4 privados a prefijos de IPv6.
Prefijo de subred IPv4 Prefijo de subred IPv6 equivalente
192.168.1.0/24 192.168.2.0/24
2001:db8:3c4d:1::/64 2001:db8:3c4d:2::/64
95
Prefijo de subred IPv4
Prefijo de subred IPv6 equivalente
192.168.3.0/24 192.168.4.0/24
2001:db8:3c4d:3::/64 2001:db8:3c4d:4::/64
Creacin de un plan de direcciones IPv6 para nodos

En la mayora de los hosts, la configuracin automtica sin estado de direcciones IPv6 para sus interfaces constituye una estrategia vlida y eficaz. Cuando el host recibe el prefijo de sitio del encaminador ms prximo, el protocolo ND genera de forma automtica direcciones IPv6 para cada interfaz del host. Los servidores necesitan direcciones IPv6 estables. Si no configura manualmente las direcciones IPv6 de un servidor, siempre que se reemplaza una tarjeta NIC del servidor se configura automticamente una direccin IPv6. Al crear direcciones para servidores debe tenerse en cuenta lo siguiente:
Proporcione a los servidores unos ID de interfaz descriptivos y estables. Un mtodo consiste en aplicar un sistema de numeracin consecutiva a los ID de interfaz. Por ejemplo, la interfaz interna del servidor LDAP que aparece en la Figura 41 podra ser 2001:db8:3c4d:2::2. Si habitualmente no cambia la numeracin de la red IPv4, es buena idea utilizar como ID de interfaz las direcciones IPv4 ya creadas de los encaminadores y servidores. En la Figura 41, suponga que la interfaz del encaminador 1 con la DMZ tiene la direccin IPv4 123.456.789.111. La direccin IPv4 puede convertirse a hexadecimal y aplicar el resultado como ID de interfaz. El nuevo ID de interfaz ser ::7bc8:156F. Este planteamiento se utiliza slo si se es el propietario de la direccin IPv4 registrada, en lugar de haber obtenido la direccin de un ISP. Si utiliza una direccin IPv4 proporcionada por un ISP, se crea una dependencia que puede causar problemas en caso de cambiar los ISP.
Debido al nmero limitado de direcciones IPv4, antes un diseador de redes deba tener en cuenta si iba a utilizar direcciones registradas globales y direcciones RFC 1918 privadas. No obstante, el concepto de direcciones IPv4 globales y privadas no es aplicable a las direcciones IPv6 . Puede utilizar direcciones unidifusin globales, que incluyen el prefijo de sitio, en todos los vnculos de la red, incluida la DMZ pblica.
96
C A P T U L O
Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas)
La administracin de redes TCP/IP se compone de dos fases. La primera consiste en ensamblar el hardware. A continuacin, se configuran los daemon, archivos y servicios que implementan el protocolo TCP/IP. En este captulo se explica cmo configurar el protocolo TCP/IP en una red que implementa servicios y direcciones IPv4.
Nota Muchas de las tareas de este captulo se aplican a redes habilitadas tanto para IPv4 como para IPv6. Cuando las tareas de configuracin son distintas en los dos formatos de direcciones, es preciso seguir los pasos de configuracin de IPv4 que se indican en este captulo. Las tareas de este captulo establecen referencias cruzadas con las tareas IPv6 equivalentes del Captulo 7, Configuracin de una red IPv6 (tareas)..
Este captulo contiene la informacin siguiente:

Antes de configurar una red IPv4 (mapa de tareas) en la pgina 98 Cmo determinar los modos de configuracin de host en la pgina 99 Cmo agregar una subred a una red (mapa de tareas) en la pgina 102 Configuracin de sistemas en la red local en la pgina 104 Mapa de tareas de configuracin de red en la pgina 103 Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 Supervisin y modificacin de los servicios de capa de transporte en la pgina 139 Administracin de interfaces en Solaris 10 3/05 en la pgina 144
97
Novedades de este captulo
Novedades de este captulo

En Solaris 10 8/07, se realizan los siguientes cambios:
Puede configurar y administrar las rutas a travs de la Utilidad de gestin de servicios (SMF) como alternativa al uso del comando routeadm. Para ver las instrucciones, consulte los procedimientos y ejemplos de Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 y la pgina del comando man routeadm(1M). El archivo /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
Antes de configurar una red IPv4 (mapa de tareas)

Antes de configurar el protocolo TCP/IP, complete las tareas que se enumeran en la tabla siguiente.
1. Disear la topologa de red.
Determina la distribucin fsica de la red.
Descripcin general de la topologa de red en la pgina 66 y Topologa de sistemas autnomos IPv4 en la pgina 119 Cmo disear un esquema de direcciones IPv4 en la pgina 60.
2. Obtener un nmero de red del proveedor de servicios de Internet (ISP) o el Registro Regional de Internet (RIR). 3. Planificar el esquema de direcciones IPv4 para la red. Si es preciso, incluir las direcciones de subred. 4. Ensamblar el hardware de red en funcin de la topologa de red. Verificar que el hardware funcione correctamente. 5. Asignar direcciones IPv4 y nombres de host a todos los sistemas de la red.
Obtiene un nmero de red registrado, que permite a los sistemas del sitio comunicarse externamente.
Utiliza el nmero de red como base Cmo disear un esquema de para el plan de direcciones. direcciones IPv4 en la pgina 60.
Configura sistemas, medios de red, Los manuales del hardware y Descripcin general de la encaminadores, conmutadores, topologa de red en la pgina 66. concentradores y puentes destacados en el diseo de la topologa de red. Asigna las direcciones IPv4 durante la instalacin del sistema operativo Solaris o la fase posterior a la instalacin, en los archivos apropiados. Cmo disear un esquema de direcciones IPv4 en la pgina 60 y Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red en la pgina 110
98
Cmo determinar los modos de configuracin de host
Tarea
Descripcin
6. Ejecutar el software de configuracin que necesitan los encaminadores e interfaces de red, si es preciso.
Configura los hosts mltiples y encaminadores.
Planificacin de encaminadores en la red en la pgina 66 y Configuracin de un encaminador IPv4 en la pgina 122 for information on routers. System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)
7. Determinar qu servicio de Configura el servicio de nombres o nombres o directorios utiliza la red: de directorios seleccionado. NIS, LDAP, DNS o archivos locales. 8. Seleccionar nombres de dominio Elige un nombre de dominio para para la red, si es preciso. la red y lo registra con InterNIC.

Como administrador de red, configure el protocolo TCP/IP para ejecutarse en hosts y encaminadores (si es preciso). Puede configurar estos sistemas para obtener informacin de la configuracin de los archivos del sistema local o de archivos que se encuentran en otros sistemas de la red. Necesita la siguiente informacin de configuracin:

Nombre de host de cada sistema Direccin IP de cada sistema Nombre de dominio al que pertenece cada sistema Encaminador predeterminado Mscara de red IPv4 en uso en cada red del sistema
Un sistema que obtiene la informacin de configuracin de TCP/IP de los archivos locales funciona en modo de archivos locales. Un sistema que obtiene la informacin de configuracin de TCP/IP de un servidor de red remoto funciona en modo de cliente de red.
Sistemas que deben ejecutarse en modo de archivos locales

Para ejecutarse en modo de archivos locales, un sistema debe tener copias locales de los archivos de configuracin de TCP/IP. Estos archivos se describen en Archivos de configuracin TCP/IP en la pgina 249. Se recomienda que el sistema tenga su propio disco, aunque no es imprescindible. La mayora de los servidores deben ejecutarse en el modo de archivos locales. Este requisito afecta a los siguientes servidores:
Servidores de configuracin de red

99
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas)
Servidores NFS Servidores de nombres que proporcionan servicios NIS, LDAP o DNS Servidores de correo
Asimismo, los encaminadores deben ejecutarse en el modo de archivos locales. Los sistemas que funcionan exclusivamente como servidores de impresin no necesitan ejecutarse en el modo de archivos locales. El tamao de la red determina si los hosts individuales deben ejecutarse en el modo de archivos locales. Si est ejecutando una red de tamao reducido, la cantidad de trabajo que implica el mantenimiento de dichos archivos en los hosts individuales es manejable. Si la red sirve a cientos de hosts, la tarea resulta ms difcil, incluso aunque se divida la red en una serie de subdominios administrativos. Por consiguiente, en el caso de las redes de gran tamao, el uso del modo de archivos locales suele ser menos eficaz. Sin embargo, dado que los encaminadores y servidores deben ser autosuficientes, deben configurarse en el modo de archivos locales.
Servidores de configuracin de red

Los servidores de configuracin de red son los servidores que facilitan la informacin de configuracin de TCP/IP a los hosts que estn configurados en el modo de clientes de red. Estos servidores admiten tres protocolos de arranque:
RARP: el protocolo RARP (Reverse Address Resolution Protocol) asigna direcciones Ethernet addresses (48 bits) a direcciones IPv4 (32 bits), al contrario que ARP. Al ejecutar RARP en un servidor de configuracin de red, los hosts que se ejecutan en el modo de cliente de red obtienen sus direcciones IP y archivos de configuracin de TCP/IP del servidor. El daemon in.rarpd permite los servicios de RARP. Consulte la pgina del comando man in.rarpd(1M) para obtener ms informacin. TFTP: El protocolo TFTP (Trivial File Transfer Protocol) es una aplicacin que transfiere archivos entre sistemas remotos. El daemon in.tftpd ejecuta los servicios TFTP, lo cual permite la transferencia de archivos entre los servidores de configuracin de red y sus clientes de red. Consulte la pgina del comando man in.tftpd(1M) para obtener ms informacin. Bootparams: el protocolo Bootparams proporciona los parmetros para el arranque que necesitan los clientes que arrancan la red. El daemon rpc.bootparamd ejecuta estos servicios. Consulte la pgina del comando man bootparamd(1M) para obtener ms informacin.
Los servidores de configuracin de red tambin pueden funcionar como servidores de archivos NFS. Si est configurando host como clientes de red, tambin debe configurar, como mnimo, un sistema en la red como servidor de configuracin de red. Si la red cuenta con subredes, debe tener como mnimo un servidor de configuracin de red para cada subred con clientes de red.
Sistemas que son clientes de red

Cualquier host que obtenga su informacin de configuracin de un servidor de configuracin de red funciona en modo de cliente de red. Los sistemas que estn configurados como clientes de red no requieren copias locales de los archivos de configuracin de TCP/IP. El modo de cliente de red simplifica la administracin de grandes redes. El modo de cliente de red minimiza el nmero de tareas de configuracin que se llevan a cabo en hosts individuales. El modo de cliente de red garantiza que todos los sistemas de la red se adhieran a los mismos estndares de configuracin. Puede configurar el modo de cliente de red en todo tipo de equipos. Por ejemplo, puede configurar el modo de cliente de red en sistemas autnomos.
Configuraciones mixtas
Las configuraciones no se limitan al modo de todos los archivos locales o al modo de todos los clientes de red. Los encaminadores y servidores siempre deben configurarse en modo local. Para los hosts, puede utilizar cualquier combinacin de modos de clientes de red y de archivos locales.
Ejemplo de topologa de red IPv4

La Figura 51 muestra los hosts de una red ficticia con el nmero de red 192.9.200. La red tiene un servidor de configuracin de red, denominado sahara. Los hosts tenere y nubian tienen sus propios discos y se ejecutan en modo de archivos locales. El host faiyum tambin tiene un disco, pero este sistema funciona en modo de cliente de red. Finalmente, el sistema timbuktu est configurado como encaminador. El sistema incluye dos interfaces de red. La primera se denomina timbuktu. Esta interfaz pertenece a la red 192.9.200. La segunda interfaz se denomina timbuktu-201. Esta interfaz pertenece a la red 192.9.201 . Ambas redes estn en el dominio organizativo deserts.worldwide.com . El dominio utiliza archivos locales como servicio de nombres.
101
Cmo agregar una subred a una red (mapa de tareas)
Dominio deserts.worldwide.com timbuktu-201 192.9.201.10 Red 192.9.201 sahara 192.9.200.50 (servidor de config. de net.) nubian 192.9.200.4 (en modo de archivos locales)
timbuktu 192.9.200.70 Red 192.9.200
tenere 192.9.200.1 (en modo de archivos locales)

FIGURA 51
faiyum 192.9.200.5 (en modo de clientes en red)
Hosts en un ejemplo de topologa de red IPv4
Cmo agregar una subred a una red (mapa de tareas)

Si pasa de una red que no utiliza una subred a una red que s la utiliza, lleve a cabo las tareas del siguiente mapa de tareas.
Nota La informacin de esta seccin se aplica nicamente a las subredes IPv4. Para obtener
informacin sobre la planificacin de subredes IPv6, consulte Preparacin de la topologa red para admitir IPv6 en la pgina 90 y Creacin de un esquema de numeracin para subredes en la pgina 95.
Tarea
Descripcin
1. Determinar si la topologa de red Determina la nueva topologa de requiere subredes. subred, incluida la ubicacin de los encaminadores y los hosts de las subredes.
Planificacin de encaminadores en la red en la pgina 66, Qu son las subredes? en la pgina 256 y Clases de red en la pgina 270
102
Mapa de tareas de configuracin de red
Tarea
Descripcin
2. Asignar las direcciones IP con el nuevo nmero de subred para que los sistemas pasen a ser miembros de la subred.
Configura las direcciones IP que utilizan el nuevo nmero de subred, ya sea durante la instalacin del sistema operativo Solaris o posteriormente, en el archivo /etc/hostname. interfaz. Modifica el archivo /etc/inet/netmasks, si est configurando manualmente los clientes de red. Tambin proporciona la mscara de red al programa de instalacin de Solaris.
Cmo decidir el formato de las direcciones IP para la red en la pgina 55
3. Configurar la mscara de red de la subred en todos los sistemas previstos en la subred.
Base de datos netmasks en la pgina 256 y Creacin de la mscara de red para las direcciones IPv4 en la pgina 257
4. Editar las bases de datos de red con las nuevas direcciones IP de todos los sistemas de la subred.
Modifique /etc/inet/hosts y, Base de datos hosts para Solaris 10 11/06 y las versiones en la pgina 251 anteriores/etc/inet/ipnodes, en todos los hosts para que se reflejen las nuevas direcciones de host.
5. Rearrancar todos los sistemas.
Mapa de tareas de configuracin de red

Configurar un host para el modo de archivos locales
Implica editar los archivos nodename, hostname, hosts, defaultdomain, defaultrouter y netmasks
Cmo configurar un host para el modo de archivos locales en la pgina 105
Configurar un servidor de configuracin de red Configurar un host para el modo de cliente de red
Implica activar el daemon in.tftp Cmo instalar un servidor de y editar los archivos hosts, ethers configuracin de red y bootparams en la pgina 107 Implica crear el archivo hostname, editar el archivo hosts y eliminar los archivos nodename y defaultdomain, si existen Cmo configurar hosts para el modo de cliente de red en la pgina 109
Especificar una estrategia de encaminamiento para el cliente de red
Implica determinar si se utilizar el Cmo activar el encaminamiento encaminamiento esttico o esttico en un host de interfaz dinmico en el host. nica en la pgina 134 y Cmo activar el encaminamiento dinmico en un host de interfaz nica en la pgina 137.
103
Configuracin de sistemas en la red local
Tarea
Descripcin
Modificar la configuracin de red existente
Implica cambiar el nombre de host, Cmo cambiar la direccin IPv4 y la direccin IP y otros parmetros otros parmetros de configuracin configurados durante la instalacin de red en la pgina 110 o posteriormente.

La instalacin del software de red tiene lugar durante la instalacin del software del sistema operativo. En ese momento, deben guardarse determinados parmetros de configuracin de IP en los archivos adecuados para que puedan leerse al arrancar. El proceso de configuracin de red implica crear o editar los archivos de configuracin de red. El modo en que la informacin de configuracin est disponible para el kernel de un sistema puede variar. La disponibilidad depende de si estos archivos se guardan localmente (modo de archivos locales) o se obtienen del servidor de configuracin de red (modo de cliente de red). Los parmetros que se proporcionan durante la configuracin de red son:

La direccin IP de cada interfaz de red en cada sistema. Los nombres de host de cada sistema de la red. Puede escribir el nombre de host en un archivo local o en una base de datos de servicios de nombres. El nombre de dominio DNS, NIS o LDAP en el que reside la base de datos, si es pertinente. Las direcciones de encaminador predeterminadas. Esta informacin se facilita en caso de tener una topologa de red simple con un nico encaminador conectado a cada red. Tambin se facilita esta informacin si los encaminadores no ejecutan protocolos de encaminamiento como RDISC (Router Discovery Server Protocol) o RIP (Router Information Protocol). Para ms informacin sobre los encaminadores predeterminados, consulte Reenvo de paquetes y rutas en redes IPv4 en la pgina 114 Consulte la Tabla 51 para ver una lista de los protocolos de encaminamiento que admite el sistema operativo Solaris. Mscara de subred (slo se necesita para las redes con subredes).
Si el programa de instalacin de Solaris detecta ms de una interfaz en el sistema, tiene la opcin de configurar las interfaces adicionales durante la instalacin. Para obtener ms informacin, consulte Gua de instalacin de Solaris 10: instalaciones bsicas. Este captulo contiene informacin sobre cmo crear y editar archivos de configuracin locales. Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener informacin sobre cmo trabajar con bases de datos de servicios de nombres.
104
Cmo configurar un host para el modo de archivos locales

Siga este procedimiento para configurar el protocolo TCP/IP en un host que se ejecute en modo de archivos locales.
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cambie al directorio /etc. Compruebe que se haya configurado el nombre de host correcto en el archivo /etc/nodename. Al especificar el nombre de host de un sistema durante la instalacin de Solaris, dicho nombre se especifica en el archivo /etc/nodename. Asegrese de que la entrada del nombre de nodo sea el nombre de host correcto para el sistema. Compruebe que exista un archivo /etc/hostname.interfaz para cada interfaz de red del sistema. Para obtener la sintaxis del archivo e informacin bsica sobre el archivo /etc/hostname.interfaz, consulte Aspectos bsicos sobre la administracin de interfaces fsicas en la pgina 162. El programa de instalacin de Solaris requiere la configuracin de, como mnimo, una interfaz durante la instalacin. La primera interfaz que se configura automticamente se convierte en la interfaz de red principal. El programa de instalacin crea un archivo /etc/hostname. interfaz para la interfaz de red principal y otras interfaces que configure de modo opcional durante la instalacin. Si ha configurado interfaces adicionales durante la instalacin, compruebe que cada interfaz tenga un archivo /etc/hostname. interfaz correspondiente. No es necesario configurar ms de una interfaz durante la instalacin de Solaris. Sin embargo, si ms adelante desea agregar ms interfaces al sistema, debe configurarlas manualmente. Para ver los pasos necesarios para configurar interfaces manualmente, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 144 oCmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156, para las versiones a partir de Solaris 10 1/06.
2 3
Para Solaris 10 11/06 y las versiones anteriores, compruebe que las entradas del archivo /etc/inet/ipnodes sean actuales. El programa de instalacin de Solaris 10 crea el archivo /etc/inet/ipnodes. Este archivo contiene el nombre de nodo y las direcciones IPv4, as como la direccin IPv6, si es pertinente, de cada interfaz que se configure durante la instalacin.
Captulo 5 Configuracin de servicios de red TCP/IP y direcciones IPv4 (tareas) 105
Utilice el formato siguiente para las entradas del archivo /etc/inet/ipnodes:

IP-address node-name nicknames...
Los apodos son nombres adicionales por los que se conoce una interfaz.
6
Compruebe que las entradas del archivo /etc/inet/hosts sean actuales. El programa de instalacin de Solaris crea entradas para la interfaz de red principal, la direccin en bucle y, si es preciso, cualquier interfaz adicional configurada durante la instalacin. a. Asegrese de que las entradas de /etc/inet/hosts sean actuales. b. (Opcional) Agregue las direcciones IP y los nombres correspondientes para las interfaces de red que se hayan agregado al host local tras la instalacin. c. (Opcional) Agregue la direccin o las direcciones IP del servidor de archivos, si el sistema de archivos /usr est montado con NFS.
Escriba el nombre de dominio completo de host en el archivo /etc/defaultdomain. Por ejemplo, supongamos que el host tenere es parte del dominio deserts.worldwide.com. Por tanto, debera escribir deserts.worldwide.com en /etc/defaultdomain . Consulte Archivo /etc/defaultdomain en la pgina 251 para obtener informacin adicional. Escriba el nombre de encaminador en el archivo /etc/defaultrouter. Consulte Archivo /etc/defaultrouter en la pgina 251 para obtener informacin sobre este archivo. Escriba el nombre del encaminador predeterminado y sus direcciones IP en el archivo /etc/inet/hosts. Hay disponibles opciones de encaminamiento adicionales, tal como se describe en Cmo configurar hosts para el modo de cliente de red en la pgina 109. Puede aplicar dichas opciones a una configuracin de modo de archivos locales. Agregue la mscara de red para su red, si es preciso:
10
Si el host obtiene la direccin IP de un servidor DHCP, no es necesario especificar la mscara de red. Si ha configurado un servidor NIS en la misma red que este cliente, puede agregar informacin de netmask en la base de datos adecuada del servidor. Para las dems condiciones, haga lo siguiente:
a. Escriba el nmero de red y la mscara de red en el archivo /etc/inet/netmasks. Use el siguiente formato:
network-number netmask
Por ejemplo, para el nmero de red de clase C 192.168.83, escribira:

192.168.83.0 255.255.255.0
Para las direcciones CIDR, convierta el prefijo de red en la representacin decimal con punto equivalente. Los prefijos de red y sus equivalentes decimales con punto se incluyen en la Tabla 23. Por ejemplo, utilice lo siguiente para expresar el prefijo de red CIDR 192.168.3.0/22.
192.168.3.0 255.255.252.0
b. Cambie el orden de bsqueda de las mscaras de red en /etc/nsswitch.conf, para que se busquen los archivos locales en primer lugar:
netmasks: 11 files nis
Rearranque el sistema.
Cmo instalar un servidor de configuracin de red

Puede encontrar informacin sobre cmo configurar servidores de instalacin y servidores de arranque en Gua de instalacin de Solaris 10: instalaciones bsicas
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cambie al directorio root (/) del servidor de configuracin de red. Active el daemon in.tftpd creando el directorio /tftpboot:
# mkdir /tftpboot
2 3
Este comando configura el sistema como servidor TFTP, bootparams y RARP.

4
Cree un vnculo simblico al directorio.

# ln -s /tftpboot/. /tftpboot/tftpboot
Active la lnea tftp en el archivo /etc/inetd.conf. Compruebe que la entrada sea como la siguiente:
tftp dgram udp6 wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot
Esta lnea impide que in.tftpd recupere archivos que no sean los que se encuentran en /tftpboot.
Edite la base de datos hosts. Agregue los nombres de host y direcciones IP para cada cliente de la red.
Edite la base de datos ethers. Cree entradas para cada host en la red que se ejecute en modo de cliente de red.
Edite la base de datos bootparams. Consulte Base de datos bootparams en la pgina 265. Utilice la entrada de comodn o cree una entrada para cada host que se ejecute en modo de cliente de red.
Convierta la entrada /etc/inetd.conf en un manifiesto de servicio de la Utilidad de gestin de servicios (SMF), y active el servicio resultante:
# /usr/sbin/inetconv
10
Compruebe que in.tftpd funcione correctamente.

# svcs network/tftp/udp6
Obtendr un resultado similar al siguiente:

STATE online STIME FMRI 18:22:21 svc:/network/tftp/udp6:default
Ms informacin
Administracin del daemon in.tftpd

La Utilidad de gestin de servicios administra el daemon in.tftpd. Las acciones administrativas de in.tftpd, como la activacin, la desactivacin o la solicitud de reinicio, pueden llevarse a cabo utilizando el comando svcadm. La responsabilidad de iniciar y reiniciar este servicio se delega al comando inetd . Utilice el comando inetadm para realizar cambios de configuracin y ver la informacin de configuracin para in.tftpd. Puede consultar el estado del servicio con el comando svcs. Para ver una descripcin general de la Utilidad de gestin de servicios, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration.
Configuracin de clientes de red

Los clientes de red reciben la informacin de configuracin de los servidores de configuracin de red. En consecuencia, antes de configurar un host como cliente de red, debe asegurarse de que haya como mnimo un servidor de configuracin de red para la red.
108
Cmo configurar hosts para el modo de cliente de red

Siga este procedimiento en cada host que deba configurar en modo de cliente de red. Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Busque el directorio /etc para el archivo nodename. Si existe, elimnelo. La eliminacin de /etc/nodename hace que el sistema utilice el programa hostconfig para obtener el nombre de host, el nombre de dominio y las direcciones de encaminador del servidor de configuracin de red. Consulte Configuracin de sistemas en la red local en la pgina 104.
Cree el archivo /etc/hostname. interfaz, si no existe. Asegrese de que el archivo est vaco. Un archivo /etc/hostname.interfaz vaco hace que el sistema obtenga la direccin IPv4 del servidor de configuracin de red.
Asegrese de que el archivo /etc/inet/hosts contenga nicamente el nombre y la direccin IP de localhost de la interfaz de red en bucle.
# cat /etc/inet/hosts # Internet host table # 127.0.0.1 localhost
La interfaz en bucle IPv4 tiene la direccin IP 127.0.0.1 Para ms informacin, consulte Direccin en bucle en la pgina 252. El archivo no debe contener la direccin IP ni el nombre de host para el host local (interfaz de red principal).
5
Compruebe que exista un archivo /etc/defaultdomain. Si existe, elimnelo. El programa hostconfig configura automticamente el nombre de dominio. Para modificar el nombre de dominio que establece hostconfig, escriba el nombre de dominio que desee en el archivo /etc/defaultdomain.
Asegrese de que las rutas de bsqueda del archivo /etc/nsswitch.conf del cliente reflejen los requisitos del servicio de nombres para la red.
109
Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red

Este procedimiento explica cmo modificar la direccin IPv4, el nombre de host y otros parmetros de red en un sistema instalado previamente. Siga el procedimiento para modificar la direccin IP de un servidor o sistema autnomo en red. El procedimiento no se aplica a los clientes o dispositivos en red. Estos pasos crean una configuracin que persiste a pesar de los rearranques.
Nota Las instrucciones tienen la finalidad de cambiar la direccin IPv4 de la interfaz de red principal. Para agregar otra interfaz al sistema, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.
En la mayora de los casos, los pasos siguientes utilizan la notacin decimal con punto de IPv4 tradicional para especificar la direccin IPv4 y la mscara de subred. Tambin puede utilizar la notacin CIDR para especificar la direccin IPv4 en todos los archivos aplicables de este procedimiento. Para ver una introduccin a la notacin CIDR, consulte Direcciones IPv4 en formato CIDR en la pgina 56.
1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Slo para Solaris 10 11/06 y las versiones anteriores, modifique la direccin IP del archivo /etc/inet/ipnodes o la base de datos ipnodes equivalente. Utilice la siguiente sintaxis para cada direccin IP que agregue al sistema:
IP-address host-name, nicknames IP-address interface-name, nicknames
La primera entrada debe contener la direccin IP de la interfaz de red principal y el nombre de host del sistema. De modo opcional, puede agregar apodos para el nombre de host. Al agregar interfaces fsicas adicionales a un sistema, cree entradas en /etc/inet/ipnodes para las direcciones IP y los nombres asociados de dichas interfaces.
3
Si necesita cambiar el nombre de host del sistema, modifique la entrada de nombre de host en el archivo /etc/nodename. Modifique la direccin IP y, si es preciso, el nombre de host en el archivo /etc/inet/hosts o la base de datos hosts equivalente.
110
Modifique la direccin IP del archivo /etc/hostname.interfaz para la interfaz de red principal. Puede utilizar cualquiera de las siguientes entradas como entrada para la interfaz de red principal en el archivo /etc/hostnameinterfaz:
Direccin IPv4, expresada en el formato decimal con punto tradicional Use la sintaxis siguiente:
IPv4 address subnet mask
La entrada de mscara de red es opcional. Si no la especifica, se utiliza la mscara de red predeterminada. A continuacin le mostramos un ejemplo:
# vi hostname.eri0 10.0.2.5 netmask 255.0.0.0
Direcciones IPv4, expresadas en la notacin CIDR, si son adecuadas para la configuracin de la red.
IPv4 address/network prefix
A continuacin le mostramos un ejemplo:

# vi hostname.eri0 10.0.2.5/8
El prefijo CIDR indica la mscara de red adecuada para la direccin IPv4. Por ejemplo, el /8 indica la mscara de red 255.0.0.0.
Nombre de host. Para utilizar el nombre de host del sistema en el archivo /etc/hostname.interfaz, asegrese de que el nombre de host y la direccin IPv4 asociada tambin estn en la base de datos hosts.
Si la mscara de subred ha cambiado, modifique las entradas de subred en los archivos siguientes:

/etc/netmasks (Opcional) /etc/hostname.interfaz
Si la direccin de subred ha cambiado, cambie la direccin IP del encaminador predeterminado en /etc/defaultrouter a la direccin del nuevo encaminador predeterminado de la subred. Reinicie el sistema.
# reboot -- -r
Ejemplo 51
Cmo modificar las direcciones IPv4 y otros parmetros de red para que persistan en los rearranques
Este ejemplo muestra cmo cambiar los siguientes parmetros de red de un sistema que se pasa a otra subred:

La direccin IP de la interfaz de red principal eri0 cambia de 10.0.0.14 a 192.168.55.14 . El nombre de host cambia de myhost a mynewhostname. La mscara de red cambia de 255.0.0.0 a 255.255.255.0. La direccin del encaminador predeterminado cambia a 192.168.55.200 .
Compruebe el estado actual del sistema:

# hostname myhost # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3
A continuacin, cambie el nombre de host del sistema y la direccin IP de eri0 en los archivos adecuados:
# vi /etc/nodename mynewhostname In Solaris 10 11/06 and earlier Solaris 10 releases only, do the following: # vi /etc/inet/ipnodes 192.168.55.14 mynewhostname #moved system to 192.168.55 net # vi /etc/inet/hosts # # Internet host table # 127.0.0.1 localhost 192.168.55.14 mynewhostname loghost # vi /etc/hostname.eri0 192.168.55.14 netmask 255.255.255.0
Finalmente, cambie la mscara de red y la direccin IP del encaminador predeterminado.

# vi /etc/netmasks. . .
192.168.55.0 255.255.255.0 # vi /etc/defaultrouter 192.168.55.200 #moved system to 192.168.55 net #
Una vez realizados los cambios, rearranque el sistema.

# reboot -- -r
Compruebe que la configuracin que acaba de realizar persista tras el rearranque:

# hostname mynewhostname # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.55.14 netmask ffffff00 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3
Ejemplo 52
Cmo cambiar la direccin IP y el nombre de host para la sesin actual

Este ejemplo muestra cmo cambiar el nombre de un host, la direccin IP de la interfaz de red principal y la mscara de subred slo para la sesin actual. Si rearranca, el sistema vuelve a tener la mscara de subred y la direccin IP anteriores. La direccin IP de la interfaz de red principal eri0 cambia de 10.0.0.14 a 192.168.34.100 .
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # ifconfig eri0 192.168.34.100 netmask 255.255.255.0 broadcast + up # vi /etc/nodename mynewhostname # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.34.100 netmask ffffff00 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # hostname mynewhostname
Reenvo de paquetes y rutas en redes IPv4
Ejemplo 53
Cmo cambiar la direccin IPv4 para la sesin actual, utilizando la notacin CIDR
Este ejemplo muestra cmo cambiar un nombre de host y la direccin IP slo para la sesin actual, utilizando la notacin CIDR. Si rearranca, el sistema vuelve a tener la mscara de subred y la direccin IP anteriores. La direccin IP de la interfaz de red principal, eri0, cambia de 10.0.0.14 a 192.168.6.25/27.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # ifconfig eri0 192.168.6.25/27 broadcast + up # vi /etc/nodename mynewhostname # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.06.25 netmask ffffffe0 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 # hostname mynewhostname
Cuando utiliza la notacin CIDR para la direccin IPv4, no es preciso especificar la mscara de red. ifconfig utiliza la designacin de prefijo de red para determinar la mscara de red. Por ejemplo, para la red 192.168.6.0/27, ifconfig configura la mscara de red ffffffe0. Si ha utilizado la designacin de prefijo /24 ms comn, la mscara de red resultante es ffffff00. El uso de la designacin de prefijo /24 equivale a especificar la mscara de red 255.255.255.0 como ifconfig al configurar una nueva direccin IP.
Vase tambin
Para cambiar la direccin IP de una interfaz que no sea la interfaz de red principal, consulte System Administration Guide: Basic Administration y Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.

Esta seccin contiene los procedimientos y ejemplos que muestran cmo configurar el reenvo y las rutas de los encaminadores y hosts en las redes IPv4. El reenvo de paquetes es el mtodo bsico para compartir informacin entre los sistemas de una red. Los paquetes se transfieren entre una interfaz de origen y una de destino, que normalmente se encuentran en dos sistemas diferentes. Al enviar un comando o un mensaje a una interfaz
que no sea local, el sistema reenva dichos paquetes a la red local. A continuacin, la interfaz con la direccin IP de destino que se especifica en los encabezados del paquete recupera los paquetes de la red local. Si la direccin de destino no se encuentra en la red local, los paquetes se reenvan a la siguiente red adyacente, o salto. De manera predeterminada, el reenvo de paquetes se configura de manera automtica al instalar el sistema operativo Solaris. El encaminamiento es el proceso por el cual los sistemas deciden adnde enviar un paquete. Los protocolos de encaminamiento de un sistema "descubren" los otros sistemas de la red local. Cuando el sistema de origen y el de destino se encuentran en la misma red local, la ruta que recorren los paquetes entre ellos se denomina ruta directa. Si un paquete debe dar como mnimo un salto desde su sistema de origen, la ruta entre el sistema de origen y el de destino se denomina ruta indirecta. Los protocolos de encaminamiento recuerdan la ruta a una interfaz de destino y conservan los datos sobre las rutas conocidas en la tabla de encaminamiento del sistema. Los encaminadores son sistemas configurados especialmente con varias interfaces fsicas que conectan el encaminador a ms de una red local. Por tanto, el encaminador puede reenviar paquetes ms all de la LAN de inicio, al margen de si el encaminador ejecuta un protocolo de encaminamiento. Para ms informacin sobre el modo en que los encaminadores reenvan paquetes, consulte Planificacin de encaminadores en la red en la pgina 66. Los protocolos de encaminamiento administran la actividad de encaminamiento de un sistema y, al intercambiar la informacin de rutas con otros hosts, mantienen las rutas conocidas para las redes remotas. Tanto los encaminadores como los hosts pueden ejecutar protocolos de encaminamiento. Los protocolos de encaminamiento del host se comunican con los daemons de encaminamiento de otros encaminadores y hosts. Estos protocolos ayudan al host a determinar a donde reenviar los paquetes. Cuando las interfaces de red estn activas, el sistema automticamente se comunica con los daemons de encaminamiento. Estos daemons supervisan los encaminadores de la red y publican las direcciones de los encaminadores para los hosts de la red local. Algunos protocolos de encaminamiento, aunque no todos, tambin guardan estadsticas que puede utilizar para medir el rendimiento del encaminamiento. A diferencia del reenvo de paquetes, debe configurar explcitamente el encaminamiento en un sistema Solaris. Esta seccin contiene las tareas necesarias para administrar el reenvo de paquetes y el encaminamiento en hosts y encaminadores habilitados para IPv4. Para obtener informacin sobre el encaminamiento en una red habilitada para IPv6, consulte Configuracin de un encaminador IPv6 en la pgina 187.
Protocolos de encaminamiento admitidos por el sistema operativo Solaris

Los protocolos de encaminamiento se dividen en protocolos de portal interior (IGP), protocolos de portal exterior (EGP) o una combinacin de ambos. Los protocolos de portal interior intercambian la informacin de encaminamiento entre los encaminadores de las redes
bajo un control administrativo comn. En la topologa de red de la Figura 53, los encaminadores ejecutan un IGP para intercambiar informacin de encaminamiento. Los protocolos de portal exterior permiten al encaminador que conecta la interred local a una red externa intercambiar informacin con otro encaminador de la red externa. Por ejemplo, el encaminador que conecta una red corporativa a un ISP ejecuta un EGP para intercambiar informacin de encaminamiento con su encaminador equivalente del ISP. El protocolo de portal de lmite (BGP) es un conocido protocolo EGP que se utiliza para transferir informacin de encaminamiento entre diferentes organizaciones e IGP. La tabla siguiente proporciona informacin sobre los protocolos de encaminamiento de Solaris y la ubicacin de la documentacin asociada a cada protocolo.
TABLA 51 Protocolo
Protocolos de encaminamiento de Solaris

Daemon asociado Descripcin Para obtener instrucciones
Protocolo Routing Information Protocol (RIP) Descubrimiento de encaminador de protocolo de mensajes de control de Internet (ICMP) Protocolo de informacin de encaminamiento, nueva generacin (RIPng) Protocolo de descubrimiento de vecinos (ND)
in.routed
IGP que encamina paquetes IPv4 y mantiene una tabla de encaminamiento Lo utilizan los hosts para descubrir la presencia de un encaminador en la red
Configuracin de un encaminador IPv4 en la pgina 122 Cmo activar el encaminamiento esttico en un host de interfaz nica en la pgina 134 y Cmo activar el encaminamiento dinmico en un host de interfaz nica en la pgina 137 Cmo configurar un encaminador habilitado para IPv6 en la pgina 188
in.routed
in.ripngd
IGP que encamina paquetes IPv6 y mantiene una tabla de encaminamiento
in.ndpd
Advierte la presencia de un encaminador IPv6 y descubre la presencia de hosts IPv6 en una red
Configuracin de una interfaz de IPv6 en la pgina 181
El sistema operativo Solaris 10 tambin admite el conjunto de protocolos de encaminamiento de cdigo abierto Quagga. Estos protocolos estn disponibles en el disco de consolidacin de SFW, aunque no forman parte de la distribucin principal de Solaris. La tabla siguiente enumera los protocolos Quagga:
TABLA 52 Protocolo
Protocolos OpenSolaris Quagga

Daemon Descripcin
Protocolo RIP
ripd
Protocolo IGP vector-distancia para IPv4 que encamina paquetes IPv4 y muestra su tabla de encaminamiento a los vecinos.
116
TABLA 52 Protocolo
Protocolos OpenSolaris Quagga

Daemon
(Continuacin)
Descripcin
RIPng
ripngd
Protocolo IGP vector-distancia para IPv6. Encamina paquetes IPv6 y mantiene una tabla de encaminamiento. Protocolo IGP de estado de vnculo IPv4 para el encaminamiento de paquetes y las redes de gran disponibilidad Protocolo EGP para IPv4 y IPv6 para el encaminamiento en dominios administrativos.
Protocolo Abrir primero la ruta ms corta (OSPF) Protocolo de portal de lmite (BGP)
ospfd
bgpd
La figura siguiente muestra un sistema autnomo que utiliza los protocolos de encaminamiento Quagga:
117
Internet
Red corporativa BGP Encaminador de lmite R1 Encaminador predeterminado R4 R2 Re 1 RIP
Host A
Host B
Encaminador predeterminado R3
Encaminador de lmite R5
Re 2 RIP
RIP
Dominio de encaminamiento A (dominio OSPF)
Dominio de encaminamiento B
FIGURA 52
Red corporativa que ejecuta protocolos Quagga
La figura muestra un sistema autnomo de red corporativa subdividido en dos dominios de encaminamiento: A y B. Un dominio de encaminamiento es una interred con una directiva de encaminamiento cohesiva, para fines administrativos o porque el dominio utiliza un nico protocolo de encaminamiento. Ambos dominios de la figura ejecutan protocolos de encaminamiento desde el conjunto de protocolos Quagga. El dominio de encaminamiento A es un dominio OSPF, que se administra con un nico ID de dominio OSPF. Todos los sistemas de este dominio ejecutan OSPF como protocolo de portal interior. Adems de los hosts y enrutadores internos, el dominio A incluye dos encaminadores de lmite.
El encaminador R1 conecta la red corporativa a un ISP y finalmente a Internet. Para facilitar las comunicaciones entre la red corporativa y el exterior, R1 ejecuta BGP en su interfaz de red dirigida al exterior. El encaminador de lmite R5 conecta el dominio A con el dominio B. Todos los sistemas del dominio B se administran con RIP como protocolo de portal interior. Por tanto, el encaminador de lmite R5 debe ejecutar OSPF en la interfaz dirigida al dominio A y RIP en la interfaz dirigida al dominio B. Para obtener ms informacin acerca de los protocolos Quagga, consulte Open Solaris Quagga (http://opensolaris.org/os/project/quagga/). Para obtener informacin acerca de los procedimientos de configuracin de estos protocolos, visite documentacin de Quagga.
Topologa de sistemas autnomos IPv4

Los sitios con varios encaminadores y redes normalmente administran su topologa de red como dominio de encaminamiento nico, o sistema autnomo (SA). La figura siguiente muestra una topologa de red tpica que podra considerarse un pequeo SA. En los ejemplos de esta seccin se hace referencia a esta topologa.
119
Internet
ISP Encaminador I Red corporativa Encaminador de lmite Red 10.0.5.0 Encaminador predeterminado Encaminador 1 Encaminamiento dinmico en host A Red 192.168.5.0 Otros hosts Host con varias direcciones permanentes Red 192.168.5.0 Encaminamiento esttico en host B Red 172.20.1.0 Otros hosts Encaminador predeterminado Encaminador 2
Encaminador 3
FIGURA 53
Sistema autnomo con varios encaminadores IPv4
La figura muestra un SA dividido en tres redes locales: 10.0.5.0, 172.20.1.0 y 192.168.5 . Cuatro encaminadores comparten las responsabilidades de reenvo de paquetes y encaminamiento. El SA incluye los siguientes tipos de sistemas:
Los encaminadores de lmite conectan un SA con una red externa, como Internet. Los encaminadores de lmite se interconectan con redes externas al IGP que se ejecuta en el SA local. Un encaminador de lmite puede ejecutar un EGP, como BGP, para intercambiar informacin con encaminadores externos, por ejemplo los encaminadores del ISP. En la Figura 53, las interfaces del encaminador de lmite se conectan a la red interna 10.0.5.0 y a un encaminador de alta velocidad de un proveedor de servicios.
120
Para obtener informacin sobre cmo configurar un encaminador de lmite, consulte la Open Source Quagga documentation (http://www.quagga.net/docs/ docs-info.php#SEC72) para BGP. Si tiene previsto utilizar BGP para conectar el SA con Internet, debe obtener un nmero de sistema autnomo (ASN) del registro de Internet para su configuracin regional. Los registros regionales, como ARIN (American Registry for Internet Numbers), incluyen las pautas para obtener un ASN. Por ejemplo, el ARIN Number Resource Policy Manual (http://www.arin.net/policy/nrpm.html#five) contiene instrucciones para obtener un ASN para sistemas autnomos en Estados Unidos y Canad. Su ISP tambin puede facilitarle un ASN.
Los encaminadores predeterminados guardan la informacin de encaminamiento en la red local. Estos encaminadores normalmente ejecutan IGP como RIP. En la Figura 53, las interfaces del encaminador 1 estn conectadas a las redes internas 10.0.5.0 y 192.168.5. El encaminador 1 tambin sirve como encaminador predeterminado para 192.168.5. El encaminador 1 guarda la informacin de encaminamiento para todos los sistemas en 192.168.5 y la dirige a otros encaminadores, como el encaminador de lmite. Las interfaces del encaminador 2 se conectan a las redes internas 10.0.5.0 y 172.20.1. Para ver un ejemplo de configuracin de un encaminador predeterminado, consulte el Ejemplo 54.
Los encaminadores de reenvo de paquetes reenvan paquetes pero no ejecutan protocolos de encaminamiento. Este tipo de encaminador recibe paquetes de una de sus interfaces que est conectada a una nica red. A continuacin, estos paquetes se reenvan mediante otra interfaz del encaminador a otra red local. En la Figura 53, el encaminador 3 es un encaminador de reenvo de paquetes con conexiones a las redes 172.20.1 y 192.168.5. Los hosts mltiples tienen dos o ms interfaces conectadas al mismo segmento de red. Un host mltiple puede reenviar paquetes, que es la accin predeterminada para todos los sistemas que ejecutan el sistema operativo Solaris. La Figura 53 muestra un host mltiple con ambas interfaces conectadas a la red 192.168.5. El Ejemplo 56 muestra cmo configurar un host mltiple. Los hosts de interfaz nica dependen de los encaminadores locales, no slo para reenviar paquetes, sino tambin para recibir informacin de configuracin de gran valor. La Figura 53 incluye el host A en la red 192.168.5, que implementa un encaminamiento dinmico, y el host B en la red 172.20.1, que implementa un encaminamiento esttico. Para configurar un host para ejecutar encaminamiento dinmico, consulte Cmo activar el encaminamiento dinmico en un host de interfaz nica en la pgina 137. Para configurar un host para ejecutar encaminamiento esttico, consulte Cmo activar el encaminamiento esttico en un host de interfaz nica en la pgina 134.
121
Configuracin de un encaminador IPv4

Esta seccin contiene un procedimiento y un ejemplo para configurar un encaminador IPv4. Para configurar un encaminador habilitado para IPv6, consulte Cmo configurar un encaminador habilitado para IPv6 en la pgina 188. Dado que un encaminador proporciona la interfaz entre dos o ms redes, debe asignar un nombre exclusivo y una direccin IP a cada interfaz de red fsica del encaminador. Por tanto, cada encaminador tiene un nombre de host y una direccin IP asociados con su interfaz de red principal, adems de otro nombre exclusivo y direccin IP, como mnimo, para cada interfaz de red adicional. Tambin puede utilizar el siguiente procedimiento para configurar un sistema slo con una interfaz fsica (de modo predeterminado, un host) como encaminador. Puede configurar un sistema con una sola interfaz si el sistema acta como punto final en un vnculo PPP, tal como se describe en Planning a Dial-up PPP Link de System Administration Guide: Network Services.
Nota Puede configurar todas las interfaces de un encaminador durante la instalacin del
sistema Solaris. Para obtener ms informacin, consulte Gua de instalacin de Solaris 10: instalaciones bsicas.

Las instrucciones siguientes presuponen que est configurando interfaces para el encaminador tras la instalacin.
Antes de empezar
Una vez el encaminador est instalado fsicamente en la red, configrelo para que funcione en modo de archivos locales, tal como se describe en Cmo configurar un host para el modo de archivos locales en la pgina 105. Con esta configuracin, los encaminadores arrancarn si el servidor de configuracin de red no funciona. En el sistema que va a configurar como encaminador, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
A partir de Solaris 10 1/06, utilice el comando dladm show-link para determinar qu interfaces estn instaladas fsicamente en el encaminador.
# dladm show-link
122
El siguiente ejemplo de resultado de dladm show-link indica que en el sistema hay disponibles una tarjeta NIC qfe con cuatro interfaces y dos interfaces bge.
qfe0 qfe1 qfe2 qfe3 bge0 bge1 3 type: type: type: type: type: type: legacy legacy legacy legacy non-vlan non-vlan mtu: mtu: mtu: mtu: mtu: mtu: 1500 1500 1500 1500 1500 1500 device: device: device: device: device: device: qfe0 qfe1 qfe0 qfe1 bge0 bge1
Revise las interfaces del encaminador que se han configurado y sondeado durante la instalacin.
# ifconfig -a
El resultado siguiente de ifconfig -a muestra que se ha configurado la interfaz qfe0 durante la instalacin. Esta interfaz se encuentra en la red 172.16.0.0. Las interfaces restantes de NIC qfe, qfe1 - qfe3, y las interfaces bge no se han configurado.
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffff0000 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15
Configure y sondee otro comando interfaz.

# ifconfig interface plumb up
Por ejemplo, para qfe1, escribira:

# ifconfig qfe1 plumb up
Nota Las interfaces que se configuran explcitamente con el comando ifconfig no persisten
tras un rearranque.
5
Asigne una direccin IPv4 y una mscara de red a la interfaz.

Precaucin Puede configurar los encaminadores IPv4 para que reciban su direccin IP a travs
de DHCP, pero slo se recomienda hacerlo a los administradores de sistemas DHCP experimentados.
# ifconfig interface IPv4-address netmask+netmask
Por ejemplo, para asignar la direccin IP 192.168.84.3 a qfe1, haga lo siguiente:
Utilizando la notacin IPv4 tradicional, escriba:

123
# ifconfig qfe1 192.168.84.3 netmask + 255.255.255.0
Utilizando la notacin CIDR, escriba:

# ifconfig qfe1 192.168.84.3/24
El prefijo /24 asigna automticamente la mscara de red 255.255.255.0 a qfe1. Consulte la tabla de prefijos CIDR y sus equivalentes de mscara de red de decimal con punto en la Figura 22.
6
(Opcional) Para asegurarse de que la configuracin de la interfaz persista tras los rearranques, cree un archivo /etc/hostname.interfaz para cada interfaz fsica adicional. Por ejemplo, cree los archivos /etc/hostname.qfe1 y /etc/hostname.qfe2. A continuacin, escriba el nombre de host timbuktu en el archivo /etc/hostname.qfe1 y el nombre de host timbuktu-201 en /etc/hostname.qfe1. Para obtener ms informacin sobre cmo configurar interfaces nicas, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156. Asegrese de rearrancar la configuracin tras crear el archivo:
# reboot -- -r
Agregue el nombre de host y la direccin IP de cada interfaz al archivo /etc/inet/hosts. Por ejemplo:
172.16.26.232 192.168.200.20 192.168.201.20 192.168.200.9 192.168.200.10 192.168.200.110 192.168.200.12 deadsea timbuktu timbuktu-201 gobi mojave saltlake chilean #interface for network 172.16.0.0 #interface for network 192.168.200 #interface for network 192.168.201
Las interfaces timbuktu y timbuktu-201 se encuentran en el mismo sistema. Observe que la direccin de red para timbuktu-201 es diferente de la interfaz de red para timbuktu. Esa diferencia existe porque el medio de red fsico de la red 192.168.201 est conectado a la interfaz de red timbuktu-201, mientras que el medio de la red 192.168.200 est conectado a la interfaz timbuktu.
8
Slo para Solaris 10 11/06 y las versiones anteriores de Solaris 10, agregue la direccin IP y el nombre de host de cada interfaz nueva en el archivo /etc/inet/ipnodes o la base de datos ipnodes equivalente. Por ejemplo:
vi /etc/inet/ipnodes 172.16.26.232 deadsea 192.168.200.20 timbuktu 192.168.201.20 timbuktu-201 #interface for network 172.16.0.0 #interface for network 192.168.200 #interface for network 192.168.201
124
Si el encaminador est conectado a una red con subredes, agregue el nmero de red y la mscara de red al archivo /etc/inet/netmasks.
Para la notacin de direcciones IPv4 tradicional, como 192.168.83.0, debera escribir:

192.168.83.0 255.255.255.0
Para las direcciones CIDR, utilice la versin de decimal con punto del prefijo en la entrada del archivo /etc/inet/netmask. Los prefijos de red y sus equivalentes decimales con punto se pueden encontrar en la Figura 22. Por ejemplo, debe utilizar la entrada siguiente de /etc/netmasks para expresar el prefijo de red CIDR 192.168.3.0/22:
192.168.3.0 255.255.252.0
10
Habilite el reenvo de paquetes IPv4 en el encaminador. Utilice uno de los siguientes comandos para habilitar el reenvo de paquetes:
Utilice el comando routeadm, del modo siguiente:

# routeadm -e ipv4-forwarding -u
Utilice el siguiente comando de la Utilidad de gestin de servicios (SMF):

# svcadm enable ipv4-forwarding
En este punto, el encaminador puede reenviar paquetes ms all de la red local. El encaminador tambin admite el encaminamiento esttico, un proceso que permite agregar manualmente rutas a la tabla de encaminamiento. Si tiene previsto utilizar encaminamiento esttico en este sistema, habr finalizado la configuracin del encaminador. Sin embargo, debe guardar las rutas en la tabla de encaminamiento del sistema. Para obtener informacin sobre cmo agregar rutas, consulte Configuracin de rutas en la pgina 128 y la pgina del comando man route(1M).
11
(Opcional) Inicie un protocolo de encaminamiento. El daemon de encaminamiento /usr/sbin/in.routed actualiza automticamente la tabla de encaminamiento. Este proceso se conoce como encaminamiento dinmico. Active los protocolos de encaminamiento IPv4 predeterminados de uno de los modos siguientes:

# routeadm -e ipv4-routing -u
Utilice el siguiente comando de SMF para iniciar un protocolo de encaminamiento como RIP.
# svcadm enable route:default
El FMRI SMF asociado con el daemon in.routed es svc:/network/routing/route.

Para obtener informacin sobre el comando routeadm, consulte la pgina del comando man routeadm(1M).
Ejemplo 54
Configuracin del encaminador predeterminado para una red

Este ejemplo muestra cmo actualizar un sistema con ms de una interfaz para convertirlo en un encaminador predeterminado. El objetivo es convertir el encaminador 2, que se muestra en la Figura 53, en el encaminador predeterminado de la red 172.20.1.0. El encaminador 2 contiene dos conexiones de red cableadas, una conexin a la red 172.20.1.0 y otra a la red 10.0.5.0. El ejemplo presupone que el encaminador funciona en el modo de archivos locales, tal como se describe en Cmo configurar un host para el modo de archivos locales en la pgina 105. Si se ha convertido en superusuario o ha asumido una funcin equivalente, determinar el estado de las interfaces del sistema. A partir de Solaris 10 1/06, puede utilizar el comando dladm como se indica a continuacin:
# dladm show-link ce0 type: legacy mtu: 1500 bge0 type: non-vlan mtu: 1500 bge1 type: non-vlan mtu: 1500
device: ce0 device: bge0 device: bge1
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.20.1.10 netmask ffff0000 broadcast 172.20.10.100 ether 8:0:20:c1:1b:c6
El resultado de dladm show-link indica que hay tres vnculos disponibles en el sistema. Slo se ha sondeado la interfaz ce0. Para iniciar la configuracin de encaminador predeterminada, debe sondear fsicamente la interfaz bge0 a la red 10.0.5.0. A continuacin, debe sondear la interfaz y configurarla para que persista tras los rearranques.
# ifconfig bge0 plumb up # ifconfig bge0 10.0.5.10 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.20.1.10 netmask ffff0000 broadcast 172.255.255.255 ether 8:0:20:c1:1b:c6 bge0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.5.10 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:e5:95:c4 # vi /etc/hostname.bge0
10.0.5.10 255.0.0.0
Rearranque el sistema utilizando el comando de arranque de reconfiguracin:

# reboot -- -r
Siga configurando las siguientes bases de datos de red con informacin sobre la interfaz que acaba de sondear y la red a la que est conectada:
# vi /etc/inet/hosts 127.0.0.1 localhost 172.20.1.10 router2 10.0.5.10 router2-out # vi /etc/inet/netmasks 172.20.1.0 255.255.0.0 10.0.5.0 255.0.0.0
#interface for network 172.20.1 #interface for network 10.0.5
Finalmente, utilice SMF para activar el reenvo de paquetes y luego active el daemon de encaminamiento in.routed.
# svcadm enable ipv4-forwarding # svcadm enable route:default
Ahora el reenvo de paquetes IPv4 y el encaminamiento dinmico mediante RIP estn activados en el encaminador 2. Sin embargo, la configuracin de encaminador predeterminada para la red 172.20.1.0 todava no se ha completado. Debe hacer lo siguiente:
Modificar cada host de 172.10.1.10 para que obtenga su informacin de encaminamiento del nuevo encaminador predeterminado. Para ms informacin, consulte Cmo activar el encaminamiento esttico en un host de interfaz nica en la pgina 134. Defina una ruta esttica para el encaminador de lmite en la tabla de encaminamiento del encaminador 2. Para obtener ms informacin, consulte Tablas y tipos de encaminamiento en la pgina 127.
Tablas y tipos de encaminamiento

Tanto los encaminadores como los hosts guardan una tabla de encaminamiento. El daemon de encaminamiento de cada sistema actualiza la tabla con todas las rutas conocidas. El ncleo del sistema lee la tabla de encaminamiento antes de reenviar paquetes a la red local. La tabla de encaminamiento enumera las direcciones IP de las redes que conoce el sistema, incluida la red local predeterminada del sistema. La tabla tambin enumera la direccin IP de un sistema de portal para cada red conocida. El portal es un sistema que puede recibir paquetes de salida y reenviarlos un salto ms all de la red local. A continuacin se incluye una tabla de encaminamiento simple en una res slo de IPv4:
Routing Table: IPv4 Destination -------------------default 224.0.0.0 10.0.0.0 127.0.0.1
Gateway -------------------172.20.1.10 10.0.5.100 10.0.5.100 127.0.0.1
Flags Ref Use Interface ----- ----- ------ --------UG 1 532 ce0 U 1 0 bge0 U 1 0 bge0 UH 1 57 lo0
Puede configurar dos tipos de encaminamiento en un sistema Solaris: esttico y dinmico. Puede configurar uno o ambos tipos de encaminamiento en un nico sistema. Un sistema que implementa encaminamiento dinmico se basa en los protocolos de encaminamiento, como RIP para redes IPv4 y RIPng para redes IPv6, con el fin de mantener sus tablas de encaminamiento. Un sistema que slo ejecuta encaminamiento esttico no se basa en ningn protocolo de encaminamiento para la informacin de encaminamiento ni para actualizar la tabla de encaminamiento. Es preciso guardar las rutas conocidas del sistema manualmente con el comando route. Para obtener ms informacin al respecto, consulte la pgina del comando man route(1M). Al configurar el encaminamiento para la red local o el sistema autnomo, considere el tipo de encaminamiento que desea para los hosts y encaminadores especficos.
Tipo de encaminamiento Recomendado para
Esttico
Hosts y redes de tamao reducido que obtienen las rutas de un encaminador predeterminado, y encaminadores predeterminados que slo necesitan conocer uno o dos encaminadores en los siguientes saltos. Interredes de mayor tamao, encaminadores en redes locales con mltiples hosts y hosts de sistemas autnomos de gran tamao. El encaminamiento dinmico es la mejor opcin para los sistemas en la mayora de las redes. Encaminadores que conectan una red con encaminamiento esttico y una red con encaminamiento dinmico, y encaminadores de lmite que conectan un sistema autnomo interior con redes externas. La combinacin del encaminamiento esttico y dinmico en un sistema es una prctica habitual.
Dinmico
Esttico y dinmico combinados
El SA que se muestra en la Figura 53 combina el encaminamiento esttico y el dinmico.
Configuracin de rutas
Para implementar el encaminamiento dinmico para una red IPv4, utilice el comando routeadm o svcadm para iniciar el daemon de encaminamiento in.routed. Para ver las instrucciones, consulte Configuracin de un encaminador IPv4 en la pgina 122. El encaminamiento dinmico es la estrategia preferida para la mayora de las redes y sistemas autnomos. Sin embargo, la topologa de red o un sistema especfico de la red podran requerir
el encaminamiento esttico. En tal caso, debe editar manualmente la tabla de encaminamiento del sistema para que refleje la ruta conocida al portal. El siguiente procedimiento muestra cmo agregar una ruta esttica.
Nota Dos rutas al mismo destino no hacen que el sistema ejecute automticamente la funcin
de equilibrio de carga o fallos. Si necesita estas funciones, utilice IPMP, tal como se describe en el Captulo 30, Introduccin a IPMP (descripcin general).
Cmo agregar una ruta esttica a la tabla de encaminamiento

1
Visualice el estado actual de la tabla de encaminamiento. Utilice su cuenta de usuario habitual para ejecutar el siguiente comando netstat:
% netstat -rn
Obtendr un resultado similar al siguiente:

Routing Table: IPv4 Destination -------------------192.168.5.125 224.0.0.0 default 127.0.0.1 2
Gateway -------------------192.168.5.10 198.168.5.10 192.168.5.10 127.0.0.1
Flags Ref Use Interface ----- ----- ------ --------U 1 5879 ipge0 U 1 0 ipge0 UG 1 91908 UH 1 811302 lo0
(Opcional) Vace las entradas existentes en la tabla de encaminamiento.

# route flush
Agregue una ruta que persista tras el rearranque del sistema.

# route -p add -net network-address -gateway gateway-address
-p
Crea una ruta que debe persistir tras el rearranque del sistema. Si desea que la ruta sea vlida slo para la sesin actual, no utilice la opcin -p. Indica que est a punto de agregar la siguiente ruta. Especifica que la ruta se dirige a la red con la direccin de direccin_red.
129
add -net direccin_red
-gateway direccin_portal
Indica que el sistema de portal para la ruta especificada tiene la direccin IP direccin_portal.
Ejemplo 55
Cmo agregar una ruta esttica a la tabla de encaminamiento

El siguiente ejemplo muestra cmo agregar una ruta esttica a un sistema. El sistema es el encaminador 2, el encaminador predeterminado para la red 172.20.1.0 que se muestra en la Figura 53. En el Ejemplo 54, el encaminador 2 est configurado para el encaminamiento dinmico. Para actuar como encaminador predeterminado para los hosts de la red 172.20.1.0, el encaminador 2 necesita adems una ruta esttica al encaminador de lmite del SA, 10.0.5.150 . Para ver la tabla de encaminamiento del encaminador 2, debe configurar lo siguiente:
# netstat -rn Routing Table: IPv4 Destination -------------------default 224.0.0.0 10.0.5.0 127.0.0.1
Gateway -------------------172.20.1.10 172.20.1.10 10.0.5.20 127.0.0.1
Flags Ref Use Interface ----- ----- ------ --------UG 1 249 ce0 U 1 0 ce0 U 1 78 bge0 UH 1 57 lo0
La tabla de encaminamiento indica las dos rutas que conoce el encaminador 2. La ruta predeterminada utiliza la interfaz 172.20.1.10 del encaminador 2 como portal. La segunda ruta, 10.0.5.0, fue descubierta por el daemon in.routed que se ejecuta en el encaminador 2. El portal de esta ruta es el encaminador 1, con la direccin IP 10.0.5.20. Para agregar una segunda ruta a la red 10.0.5.0, que tiene su portal como encaminador de lmite, debe configurar lo siguiente:
# route -p add -net 10.0.5.0/24 -gateway 10.0.5.150/24 add net 10.0.5.0: gateway 10.0.5.150
Ahora la tabla de encaminamiento cuenta con una ruta para el encaminador de lmite, que tiene la direccin IP 10.0.5.150/24.
# netstat -rn Routing Table: IPv4 Destination -------------------default 224.0.0.0 10.0.5.0 10.0.5.0 127.0.0.1
Gateway -------------------172.20.1.10 172.20.1.10 10.0.5.20 10.0.5.150 127.0.0.1
Flags Ref Use Interface ----- ----- ------ --------UG 1 249 ce0 U 1 0 ce0 U 1 78 bge0 U 1 375 bge0 UH 1 57 lo0
130
Configuracin de hosts mltiples

En el sistema operativo Solaris, un sistema con ms de una interfaz se considera un host mltiple. Un host mltiple no reenva paquetes IP. No obstante, puede configurar un host mltiple para que ejecute protocolos de encaminamiento. Normalmente se configuran los siguientes tipos de sistemas como hosts mltiples:
Los servidores NFS, especialmente los que funcionan como grandes centros de datos, se pueden conectar a ms de una red para que un grupo de usuarios de gran tamao pueda compartir archivos. No es necesario que estos servidores mantengan tablas de encaminamiento. Los servidores de bases de datos pueden tener varias interfaces de red para proporcionar recursos a un grupo de usuarios de gran tamao, como los servidores NFS. Los portales de cortafuegos son sistemas que proporcionan conexin entre la red de una compaa y las redes pblicas como Internet. Los administradores configuran los cortafuegos como una medida de seguridad. Cuando se configura el host como un cortafuegos, no transfiere paquetes entre las redes conectadas a las interfaces del host. Sin embargo, el host puede seguir ofreciendo los servicios TCP/IP estndar, como ssh, a los usuarios autorizados.
Nota Cuando los hosts mltiples tienen diferentes tipos de cortafuegos en cualquiera de sus interfaces, procure evitar las interrupciones involuntarias de los paquetes del host. Este problema sucede especialmente con los cortafuegos con estado. Una solucin podra ser configurar los cortafuegos sin estado. Para ms informacin sobre los cortafuegos, consulte Firewall Systems de System Administration Guide: Security Services o la documentacin del cortafuegos si es de otro proveedor.
Cmo crear un host mltiple

1
En el host mltiple previsto, asuma la funcin de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Configure y sondee cada interfaz de red adicional que no se haya configurado como parte de la instalacin del sistema operativo Solaris. Consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.
131
Compruebe que el reenvo de IP no est activo en el host mltiple.

# routeadm
El comando routeadm sin opciones informa del estado de los daemon de encaminamiento. El siguiente resultado de routeadm muestra que el reenvo de IPv4 est activo:
Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled disabled IPv6 forwarding disabled disabled Routing services 4 "route:default ripng:default" Configuration
Desactive el reenvo de paquetes, si est activo en el sistema. Utilice uno de los siguientes comandos:
Para el comando routeadm, escriba lo siguiente:

# routeadm -d ipv4-forwarding -u
Para utilizar SMF, escriba:

# svcadm disable ipv4-forwarding
(Opcional) Active el encaminamiento dinmico para el host mltiple. Utilice uno de los siguientes comandos para activar el daemon in.routed:


Ejemplo 56
Configuracin de un host mltiple

El ejemplo siguiente muestra cmo configurar el host mltiple que aparece en la Figura 53. En el ejemplo, el sistema tiene el nombre de host hostc. Este host cuenta con dos interfaces, que estn conectadas a la red 192.168.5.0. Para empezar, debe mostrar el estado de las interfaces del sistema.
132
# dladm show-link hme0 type: legacy mtu: 1500 device: hme0 qfe0 type: legacy mtu: 1500 device: qfe0 qfe1 type: legacy mtu: 1500 device: qfe1 qfe2 type: legacy mtu: 1500 device: qfe2 qfe3 type: legacy mtu: 1500 device: qfe3 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.82 netmask ff000000 broadcast 192.255.255.255 ether 8:0:20:c1:1b:c6
El comando dladm show-link muestra que hostc tiene dos interfaces con un total de cinco vnculos posibles. Sin embargo, slo se ha sondeado hme0. Para configurar hostc como host mltiple, debe agregar qfe0 u otro vnculo en la tarjeta NIC qfe. En primer lugar, debe conectar fsicamente la interfaz qfe0 a la red 192.168.5.0. A continuacin, sondee la interfaz qfe0 y haga que persista tras los rearranques.
# ifconfig qf0 plumb up # ifconfig qfe0 192.168.5.85 # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.82 netmask ff0000 broadcast 192.255.255.255 ether 8:0:20:c1:1b:c6 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.5.85 netmask ff000000 broadcast 192.255.255.255 ether 8:0:20:e1:3b:c4 # vi /etc/hostname.qfe0 192.168.5.85 255.0.0.0
Rearranque el sistema utilizando el comando de reconfiguracin:

# reboot -- -r
A continuacin, agregue la interfaz qfe0 a la base de datos hosts:

# vi /etc/inet/hosts 127.0.0.1 localhost 192.168.5.82 host3 #primary network interface for host3 192.168.5.85 host3-2 #second interface
A continuacin, compruebe el estado del reenvo de paquetes y las rutas en host3:
133
# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing enabled enabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
El comando routeadm indica que el encaminamiento dinmico a travs del daemon in.routed y el reenvo de paquetes estn activos. Sin embargo, necesita desactivar el reenvo de paquetes:
Tambin puede utilizar los comandos routeadm como se indica en Cmo crear un host mltiple en la pgina 131 para desactivar el reenvo de paquetes. Cuando el reenvo de paquetes est desactivado, host3 se convierte en un host mltiple.
Configuracin del encaminamiento para sistemas de interfaz nica

Los hosts de interfaz nica deben implementar algn tipo de encaminamiento. Si el host tiene la finalidad de obtener sus rutas de uno o ms encaminadores locales predeterminados, debe configurar el host para que utilice el encaminamiento esttico. De lo contrario, se recomienda utilizar el encaminamiento dinmico para el host. Los procedimientos siguientes contienen las instrucciones para activar ambos tipos de encaminamiento.
Cmo activar el encaminamiento esttico en un host de interfaz nica

Este procedimiento activa el encaminamiento esttico en un host de interfaz nica. Los hosts que utilizan encaminamiento esttico no ejecutan un protocolo de encaminamiento dinmico como RIP. En lugar de ello, el host se basa en los servicios de un encaminador predeterminado para la informacin de encaminamiento. La figura Topologa de sistemas autnomos IPv4 en la pgina 119 muestra varios encaminadores predeterminados y sus hosts cliente. Si ha facilitado el nombre de un encaminador predeterminado al instalar un host especfico, dicho host ya estar configurado para utilizar el encaminamiento esttico.
Nota Tambin puede utilizar el procedimiento siguiente para configurar en encaminamiento esttico en un host mltiple.
134
Para obtener informacin sobre el archivo /etc/defaultrouter, consulte Archivo /etc/defaultrouter en la pgina 251. Para obtener informacin sobre el encaminamiento esttico y la tabla de encaminamiento, consulte Tablas y tipos de encaminamiento en la pgina 127.
1
En el host de interfaz nica, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que el archivo /etc/defaultrouter est presente en el host.
# cd /etc # ls | grep defaultrouter
3 4
Abra un editor de texto para crear o modificar el archivo /etc/defaultrouter. Agregue una entrada para el encaminador predeterminado.
# vi /etc/defaultrouter router-IP
donde IP_encaminador indica la direccin IP del encaminador predeterminado para el host que se debe usar.
5
Compruebe que el encaminamiento y el reenvo de paquetes no se estn ejecutando en el host.

# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding disabled disabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
Agregue una entrada para el encaminador predeterminado en el archivo /etc/inet/hosts local. Para obtener informacin sobre cmo configurar /etc/inet/hosts, consulte Cmo cambiar la direccin IPv4 y otros parmetros de configuracin de red en la pgina 110.
135
Ejemplo 57
Configuracin de un encaminador predeterminado y encaminamiento esttico para un host de interfaz nica

El ejemplo siguiente muestra cmo configurar el encaminamiento esttico para hostb, un host de interfaz nica en la red 172.20.1.0 que aparece en la Figura 53. hostb debe utilizar el encaminador 2 como predeterminado. En primer lugar, debe iniciar sesin en hostb como superusuario o asumir un rol equivalente. A continuacin, determine si el archivo /etc/defaultrouter est presente en el host:
Ninguna respuesta de grep indica que debe crear el archivo /etc/defaultrouter.

# vi /etc/defaultrouter 172.20.1.10
La entrada en el archivo /etc/defaultrouter es la direccin IP de la interfaz en el encaminador 2, que se conecta a la red 172.20.1.0. A continuacin, compruebe si el host permite el reenvo de paquetes o el encaminamiento.
# routeadm Configuration
Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
El reenvo de paquetes est activado para este host especfico. Debe desactivarlo del modo siguiente:
Por ltimo, debe asegurarse de que el archivo /etc/inet/hosts del host tenga una entrada para el nuevo encaminador predeterminado.
# vi /etc/inet/hosts 127.0.0.1 localhost 172.20.1.18 host2 #primary network interface for host2 172.20.1.10 router2 #default router for host2
136
Cmo activar el encaminamiento dinmico en un host de interfaz nica

El encaminamiento dinmico es el modo ms sencillo de administrar el encaminamiento en un host. Los hosts que utilizan encaminamiento dinmico ejecutan los protocolos de encaminamiento que proporciona el daemon in.routed para IPv4 o el daemon in.ripngd para IPv6. Utilice el procedimiento siguiente para activar el encaminamiento dinmico de IPv4 en un host de interfaz nica. Para obtener informacin adicional sobre el encaminamiento dinmico, consulte Reenvo de paquetes y rutas en redes IPv4 en la pgina 114.
1
En el host, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que exista el archivo /etc/defaultrouter.
Si /etc/defaultrouter existe, elimine cualquier entrada que encuentre. Un archivo /etc/defaultrouter vaco obliga al host a utilizar el encaminamiento dinmico. Compruebe que el reenvo de paquetes y el encaminamiento estn activados en el host.
# routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"
Si el reenvo de paquetes est activo, desactvelo. Utilice uno de los siguientes comandos:

# routeadm -d ipv4-forwarding -u

137
Active los protocolos de encaminamiento en el host. Utilice uno de los siguientes comandos:


Ahora el encaminamiento dinmico de IPv4 estar activo. La tabla de encaminamiento del host se guarda de forma dinmica mediante el daemon in.routed.
Ejemplo 58
Cmo ejecutar el encaminamiento dinmico en un host de interfaz nica

El ejemplo siguiente muestra cmo configurar el encaminamiento dinmico para hosta, un host de interfaz nica en la red 192.168.5.0 que aparece en la Figura 53. hosta utiliza actualmente el encaminador 1 como predeterminado. Sin embargo, hosta ahora debe ejecutar encaminamiento dinmico. En primer lugar, debe iniciar sesin en hosta como superusuario o asumir un rol equivalente. A continuacin, determine si el archivo /etc/defaultrouter est presente en el host:
# cd /etc # ls | grep defaultrouter defaultrouter
La respuesta de grep indica que existe un archivo /etc/defaultrouter para hosta.

# vi /etc/defaultrouter 192.168.5.10
El archivo presenta la entrada 192.168.5.10, que es la direccin IP del encaminador 1. Para activar el encaminamiento esttico, deber eliminar esta entrada. A continuacin, debe verificar que el reenvo de paquetes y el encaminamiento estn activados para el host.
Configuration Current Current Option Configuration System State --------------------------------------------------------------IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding disabled disabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default" # routeadm
138
Supervisin y modificacin de los servicios de capa de transporte
Tanto el encaminamiento como el reenvo de paquetes estn desactivados para hosta . Active el encaminamiento para completar la configuracin del encaminamiento dinmico para hosta, del modo siguiente:

Los protocolos de capa de transporte TCP, SCTP y UDP forman parte del paquete del sistema operativo Solaris estndar. Estos protocolos normalmente no requieren ninguna intervencin para ejecutarse correctamente. Sin embargo, las circunstancias de su sitio podran requerir el registro o la modificacin de los servicios que ejecutan los protocolos de capa de transporte. En tal caso, debe modificar los perfiles de los servicios con la Utilidad de gestin de servicios (SMF), que se describe en el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. El daemon inetd se encarga de iniciar los servicios estndar de Internet cuando se arranca un sistema. Estos servicios incluyen aplicaciones que utilizan TCP, SCTP o UDP como protocolo de capa de transporte. Puede modificar los servicios de Internet existentes o agregar servicios nuevos con los comandos SMF. Para ms informacin sobre inetd, consulte Daemon de servicios de Internet inetd en la pgina 260. Las operaciones que requieren protocolos de capa de transporte incluyen:

Registrar todas las conexiones TCP entrantes Agregar servicios que ejecutan un protocolo de capa de transporte, utilizando SCTP a modo de ejemplo Configurar la funcin de envoltorios TCP para el control de acceso
Para obtener informacin detallada sobre el daemon inetd, consulte la pgina del comando man inetd(1M).
Cmo registrar las direcciones IP de todas las conexiones TCP entrantes

En el sistema local, asuma la funcin de administrador de red o hgase superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Active el seguimiento TCP para todos los servicios que administre inetd.
# inetadm -M tcp_trace=TRUE
Cmo agregar servicios que utilicen el protocolo SCTP

El protocolo de transporte SCTP ofrece servicios a los protocolos de capa de modo similar a TCP. Sin embargo, SCTP permite la comunicacin entre dos sistemas, que pueden ser (uno o ambos) de host mltiple. La conexin SCTP se denomina asociacin. En una asociacin, una aplicacin divide los datos que se transmitirn en uno o ms flujos de mensajes, o en mltiples flujos. Una conexin SCTP puede realizarse en los puntos finales con varias direcciones IP, lo cual es especialmente importante en las aplicaciones de telefona. Las posibilidades que ofrece el host mltiple de SCTP constituyen una consideracin de seguridad si el sitio utiliza filtro IP o IPsec. En la pgina del comando man sctp(7P) se describen algunas de estas consideraciones. De modo predeterminado, SCTP se incluye en el sistema operativo Solaris y no requiere ninguna configuracin adicional. Sin embargo, es posible que tenga que configurar de modo explcito determinados servicios de capa de la aplicacin para que utilicen SCTP. Algunas aplicaciones de ejemplo son echo y discard. El procedimiento siguiente muestra cmo agregar un servicio echo que utilice un socket de estilo uno a uno SCTP.
Nota Tambin puede utilizar el procedimiento siguiente para agregar servicios para los protocolos de capa de transporte TCP y UDP.
La tarea siguiente muestra cmo agregar un servicio SCTP inet que administre el daemon inetd al depsito SMF. La tarea muestra cmo utilizar los comandos de la Utilidad de gestin de servicios (SMF) para agregar el servicio.
Para obtener informacin sobre los comandos SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para obtener informacin sobre la sintaxis, consulte las pginas del comando man para los comandos SMF, como se describe en el procedimiento. Para obtener informacin detallada sobre SMF, consulte la pgina del comando man smf(5).
Antes de empezar
Antes de llevar a cabo el procedimiento siguiente, cree un archivo manifest para el servicio. El procedimiento utiliza como ejemplo un archivo manifest para el servicio echo que se denomina echo.sctp.xml . Inicie sesin en el sistema local con una cuenta de usuario con privilegios de escritura para los archivos del sistema.
140
Edite el archivo /etc/services y agregue una definicin para el nuevo servicio. Utilice la siguiente sintaxis para la definicin del servicio.
service-name |port/protocol | aliases
Agregue el nuevo servicio. Vaya al directorio en el que se encuentra el manifiesto del servicio y escriba lo siguiente:
# cd dir-name # svccfg import service-manifest-name
Para ver la sintaxis completa de svccfg, consulte la pgina del comando man svccfg(1M). Supongamos que desea agregar un nuevo servicio SCTP echo utilizando el manifiesto echo.sctp.xml que se encuentra en el directorio service.dir. Debe escribir lo siguiente:
# cd service.dir # svccfg import echo.sctp.xml 4
Compruebe que se haya agregado el manifiesto del servicio:

# svcs FMRI
Para el argumento FMRI, utilice el Fault Managed Resource Identifier (FMRI) del manifiesto del servicio. Por ejemplo, para el servicio SCTP echo, debe utilizar el comando siguiente:
# svcs svc:/network/echo:sctp_stream
El resultado que obtendr ser similar al siguiente:

STATE disabled STIME FMRI 16:17:00 svc:/network/echo:sctp_stream
Si desea obtener informacin detallada sobre el comando svcs, consulte la pgina del comando man svcs(1). El resultado indica que el nuevo manifiesto del servicio est desactivado.
5
Enumere las propiedades del servicio para determinar si debe realizar modificaciones.
# inetadm -l FMRI
Para obtener informacin detallada sobre el comando inetadm, consulte la pgina del comando man inetadm(1M). Por ejemplo, para el servicio SCTP echo, debe escribir lo siguiente:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream"
141
proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" . . default tcp_trace=FALSE default tcp_wrappers=FALSE 6
Active el nuevo servicio:

# inetadm -e FMRI
Compruebe que el servicio est activado: Por ejemplo, para el nuevo servicio echo, debe escribir:
# inetadm | grep sctp_stream . . enabled online svc:/network/echo:sctp_stream
Ejemplo 59
Cmo agregar un servicio que utilice el protocolo de transporte SCTP

El siguiente ejemplo muestra los comandos para utilizar las entradas de archivo necesarias para que el servicio echo utilice el protocolo de capa de transporte SCTP.
$ cat /etc/services . . echo 7/tcp echo 7/udp echo 7/sctp # cd service.dir # svccfg import echo.sctp.xml # svcs network/echo* STATE STIME disabled 15:46:44 disabled 15:46:44 disabled 16:17:00
FMRI svc:/network/echo:dgram svc:/network/echo:stream svc:/network/echo:sctp_stream
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream"
142
default default default default default default default default default default default
proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" bind_addr="" bind_fail_max=-1 bind_fail_interval=-1 max_con_rate=-1 max_copies=-1 con_rate_offline=-1 failrate_cnt=40 failrate_interval=60 inherit_env=TRUE tcp_trace=FALSE tcp_wrappers=FALSE
# inetadm -e svc:/network/echo:sctp_stream # inetadm | grep echo disabled disabled disabled disabled enabled online
svc:/network/echo:stream svc:/network/echo:dgram svc:/network/echo:sctp_stream
Cmo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP
El programa tcpd implementa envoltorios TCP. Los envoltorios TCP incorporan una medida de seguridad para los daemons de servicio como ftpd al permanecer entre el daemon y las solicitudes de servicio entrantes. Los envoltorios TCP registran los intentos de conexin correctos e incorrectos. Asimismo, los envoltorios TCP pueden proporcionar control de acceso, y permitir o denegar la conexin en funcin del lugar donde se origine la solicitud. Puede utilizar los envoltorios TCP para proteger los daemons como SSH, Telnet o FTP. La aplicacin sendmail tambin puede utilizar envoltorios TCP, tal como se describe en Support for TCP Wrappers From Version 8.12 of sendmail de System Administration Guide: Network Services.
En el sistema local, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Active los envoltorios TCP.
# inetadm -M tcp_wrappers=TRUE
143
Administracin de interfaces en Solaris 10 3/05
Configure la directiva de control de acceso de los envoltorios TCP tal como se describe en la pgina del comando man hosts_access(3). Esta pgina del comando man se encuentra en el directorio /usr/sfw/man del CD-ROM de SFW, que se suministra con el CD-ROM del sistema operativo Solaris.

Esta seccin contiene las siguientes tareas para administrar las interfaces fsicas:

Cmo agregar interfaces fsicas tras la instalacin del sistema Cmo agregar una red de rea local virtual (VLAN) a un adaptador de red
Novedades de esta seccin

Esta seccin contiene informacin sobre cmo configurar las interfaces slo para los usuarios de Solaris 10 3/05. Si utiliza una actualizacin del sistema operativo Solaris 10, consulte el Chapter 6, Administracin de interfaces de red (tareas). Para ver una lista completa de las nuevas funciones de Solaris 10 y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10.
Configuracin de interfaces fsicas en Solaris 10 3/05

Un sistema basado en Solaris suele tener dos tipos de interfaces: fsicas y lgicas. Las interfaces fsicas se componen de un controlador de software y un conector en el que puede conectar los medios de red, como un cable Ethernet. Las interfaces lgicas se configuran lgicamente en las interfaces fsicas existentes, como interfaces que se configuran para tneles o con direcciones IPv6. En esta seccin se describe cmo configurar las interfaces fsicas tras la instalacin. Se incluyen instrucciones para configurar las interfaces lgicas con las tareas para las funciones que requieren interfaces lgicas, por ejemplo Cmo configurar manualmente IPv6 a travs de tneles IPv4 en la pgina 200. Los tipos de interfaces fsicas incluyen las interfaces integradas en el sistema y las interfaces que se adquieren por separado. Cada interfaz reside en una tarjeta de interfaz de red (NIC). Las NIC incorporadas se encuentran en el sistema al adquirirlo. Un ejemplo de interfaz en una tarjeta NIC integrada es la interfaz de red principal, como eri0 o hme0. Debe configurar la interfaz de red principal del sistema en el momento de la instalacin. Las NIC como eri o hme slo tienen una interfaz. Sin embargo, muchas marcas de NIC tienen varias interfaces. Una tarjeta NIC de mltiples interfaces como la tarjeta qfe tiene cuatro interfaces, de qfe0 a qfe3. El programa de instalacin de Solaris detecta todas las interfaces
144
presentes en la instalacin y pregunta al usuario si desea configurarlas. Puede configurar estas interfaces en el momento del inicio o ms adelante.
Nota Las NIC tambin se conocen como adaptadores de red.
Adems de las tarjetas NIC integradas, puede agregar al sistema NIC que haya adquirido por separado. Las tarjetas NIC que haya adquirido por separado se instalan fsicamente de acuerdo con las instrucciones del fabricante. A continuacin, debe configurar las interfaces de las NIC para que se puedan utilizar para transferir trfico de datos. A continuacin se mencionan algunos motivos para configurar las interfaces adicionales en un sistema tras la instalacin:
Desea actualizar el sistema para convertirlo en un host mltiple. Para ms informacin sobre los hosts mltiples, consulte Configuracin de hosts mltiples en la pgina 131. Desea cambiar el host por un encaminador. Para obtener instrucciones sobre cmo configurar los encaminadores, consulte Configuracin de un encaminador IPv4 en la pgina 122. Desea agregar una interfaz a un grupo IPMP. Para obtener informacin sobre las interfaces de un grupo IPMP, consulte Configuraciones de interfaces IPMP en la pgina 786.
Cmo agregar una interfaz fsica tras la instalacin en Solaris 10 3/05
SOLAMENTE
Antes de empezar
Determine las direcciones IPv4 que desea utilizar para las interfaces adicionales. La interfaz fsica que se debe configurar debe estar presente en el sistema. Para obtener informacin sobre cmo instalar hardware NIC que haya adquirido por separado, consulte las instrucciones del fabricante que se incluyen con la tarjeta NIC. El siguiente procedimiento presupone que ha realizado un arranque de reconfiguracin tras instalar fsicamente una nueva interfaz.
Nota El siguiente procedimiento se aplica nicamente a los usuarios de Solaris 10 3/05. Si est utilizando una actualizacin del sistema operativo Solaris 10, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Configure y sondee todos los comandos interfaz.

Por ejemplo, para qfe0 escribira:

tras un rearranque.
3


# ifconfig qfe0 10.0.0.32 netmask + 255.255.255.0 4
Compruebe que las interfaces que acaba de configurar estn sondeadas y configuradas, o "UP".
# ifconfig -a
Compruebe la lnea de estado para cada interfaz que se muestre. Asegrese de que el resultado contenga un indicador UP en la lnea de estado, por ejemplo:
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 5
(Opcional) Para que la configuracin de la interfaz persista tras los rearranques, siga estos pasos: a. Cree un archivo /etc/hostname.interfaz para todas las interfaces que deba configurar. Por ejemplo, para agregar una interfaz qfe0, debe crear el siguiente archivo:
# vi /etc/hostname.qfe0
b. Edite el archivo /etc/hostname.interfaz. Como mnimo, agregue la direccin IPv4 de la interfaz al archivo. Tambin puede agregar al archivo una mscara de red u otra informacin de configuracin.
Nota Para agregar una direccin IPv6 a una interfaz, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191
c. Agregue entradas para las nuevas interfaces en el archivo /etc/inet/hosts.
146
d. Efecte un arranque de reconfiguracin.

# reboot -- -r
e. Compruebe que la interfaz que ha creado en el archivo /etc/hostname. interfaz se haya configurado.
# ifconfig -a
Ejemplo 510
Configuracin de una interfaz tras la instalacin del sistema

El ejemplo siguiente muestra cmo agregar dos interfaces, qfe0 y qfe1. Estas interfaces estn conectadas a la misma red como interfaz de redi principal, hme0. Esta configuracin de la interfaz se guardar hasta que rearranque el sistema. Para ver un ejemplo sobre cmo hacer que las configuraciones de la interfaz se conserven tras los rearranques, consulte el Ejemplo 62. Sin embargo, el comando dladm que se utiliza en el ejemplo slo est disponible a partir de Solaris 10 1/06.
# # # # ifconfig ifconfig ifconfig ifconfig qfe0 qfe1 qfe0 qfe1 plumb up plumb up 10.0.0.32 netmask 255.0.0.0 10.0.0.33 netmask 255.0.0.0
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 10.0.0.32 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1d qfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 10.0.0.33 netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1e Vase tambin
Para configurar una direccin IPv6 en una interfaz, consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182. Para configurar la deteccin de fallos y la recuperacin tras un fallo para interfaces utilizando las rutas mltiples de redes (IPMP), consulte el Captulo 31, Administracin de IPMP (tareas).
147
Cmo eliminar una interfaz fsica en Solaris 10 3/05 SOLAMENTE

Nota El siguiente procedimiento se aplica nicamente a los usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Solaris 10, consulte Cmo eliminar una interfaz fsica en la pgina 159. 1
En el sistema cuya interfaz debe eliminar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Elimine la interfaz fsica. Escriba la forma siguiente del comando ifconfig:

# ifconfig interfaceunplumb down
Por ejemplo, debe eliminar la interfaz eri1 del modo siguiente:

# ifconfig eri1 unplumb down
Configuracin de VLAN en Solaris 10 3/05 SOLAMENTE

Nota Esta seccin contiene informacin sobre cmo configurar las VLAN slo para los
usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Solaris 10, consulte Administracin de redes de rea local virtuales en la pgina 164. Las redes de rea local virtual (VLAN) se utilizan comnmente para dividir grupos de usuarios de red en dominios de difusin manejables, con el fin de crear una segmentacin lgica de grupos de trabajo, y de aplicar directivas de seguridad en cada segmento lgico. Con varias VLAN en un adaptador, un servidor con un nico adaptador puede tener una presencia lgica en varias subredes IP. De modo predeterminado, pueden definirse 512 VLAN para cada adaptador compatible con VLAN del servidor. Si la red no necesita varias VLAN, puede utilizar la configuracin predeterminada, en cuyo caso no se requiere ninguna configuracin adicional. Para ver una descripcin general de las VLAN, consulte Descripcin general de una configuracin VLAN en la pgina 164.
148
Las VLAN se pueden crear de acuerdo con varios criterios, pero cada VLAN debe tener asignada una etiqueta VLAN o un ID de VLAN(VID). El VID es un identificador de 12 bits entre 1 y 4094 que identifica una VLAN exclusiva. Para cada interfaz de red (por ejemplo, ce0, ce1, ce2, etc.), pueden crearse 512 VLAN. Dado que las subredes IP se utilizan habitualmente, utilcelas cuando configure una interfaz de red VLAN. Esto significa que cada VID que asigne a una interfaz VLAN de una interfaz de red fsica pertenece a diferentes subredes. Para etiquetar una estructura Ethernet, es preciso agregar un encabezado de etiqueta a la estructura. La estructura se inserta inmediatamente a continuacin de la direccin MAC de destino y la direccin MAC de origen. El encabezado de etiqueta se compone de dos bytes de TPID (Tag Protocol Identifier, 0x8100) de Ethernet y dos bytes de TCI (Tag Control Information). La figura siguiente muestra el formato de encabezado de etiqueta de Ethernet.
Octeto 1 TPID (0 x 8100) 2 3 3 bits 1 bit 12 bits 4 Prioridad_usuario

FIGURA 54
CFI
VID
Formato de encabezado de etiqueta de Ethernet
Cmo configurar VLAN estticas en Solaris 10 3/05 SOLAMENTE

Nota Este procedimiento contiene informacin sobre cmo configurar las VLAN slo para los
usuarios de Solaris 10 3/05. Si est utilizando una actualizacin de Solaris 10, consulte Cmo configurar una VLAN en la pgina 168
1
149
Determine el tipo de interfaces que se utilizan en su sistema. Es posible que las letras ce no hagan referencia al adaptador de red de su sistema, lo cual es necesario para una VLAN.
# ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.156.200.77 netmask ffffff00 broadcast 129.156.200.255
Cree un archivo hostname.ce num (hostname6.cenum para IPv6) para las redes VLAN que se configurarn para cada adaptador del servidor. Utilice el siguiente formato de denominacin que incluye el VID y el punto fsico de conexin (PPA): VLAN logical PPA = 1000 * VID + PPA de dispositivo ce123000 = 1000*123 + 0 Por ejemplo: hostname.ce123000 PPA lgico de VLAN = 1000 * VID + PPA de dispositivo ce11000 = 1000*11 + 0 Por ejemplo: hostname.ce11000 Este formato limita el mximo de PPA (instancias) que se pueden configurar a 1.000 en el archivo /etc/path_to_inst. Por ejemplo, si un servidor con el adaptador Sun Gigabit Ethernet/P 3.0 tiene una instancia de 0, que pertenece a dos VLAN con los VID 123 y 224, debe utilizar ce123000 y ce224000, respectivamente, como los dos PPA de VLAN.
Configure un dispositivo virtual de VLAN: Por ejemplo, puede utilizar los siguientes ejemplos de ifconfig:
# ifconfig ce123000 plumb up # ifconfig ce224000 plumb up
El resultado de ifconfig -a en un sistema con dispositivos VLAN ce123000 y ce224000 debe ser parecido al siguiente
# ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.144.131.91 netmask ffffff00 broadcast 129.144.131.255 ether 8:0:20:a4:4f:b8 ce123000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
150
inet 199.199.123.3 netmask ffffff00 broadcast 199.199.123.255 ether 8:0:20:a4:4f:b8 ce224000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 199.199.224.3 netmask ffffff00 broadcast 199.199.224.255 ether 8:0:20:a4:4f:b8 5
En el conmutador, configure las etiquetas VLAN y los puertos VLAN para que coincidan con las VLAN que ha configurado en el servidor. Siga los ejemplos del paso 4 para configurar los puertos de VLAN 123 y 224 en el conmutador o los puertos VLAN 10 y 11. Consulte la documentacin que se facilita con su conmutador para ver las instrucciones especficas para configurar las etiquetas y los puertos VLAN.
151
152
C A P T U L O
Administracin de interfaces de red (tareas)
Este captulo contiene tareas e informacin sobre las interfaces de red:

Administracin de interfaces (mapa de tareas) en la pgina 154 Aspectos bsicos sobre la administracin de interfaces fsicas en la pgina 162 Administracin de interfaces de red individuales en la pgina 154
Novedades en la administracin de interfaces de red

La informacin de este captulo describe la configuracin de la interfaz a partir de la versin 10 1/06 de Solaris. Si utiliza la versin original de Solaris 10, 3/05, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 144. Para ver una lista completa de las nuevas funciones de Solaris 10 y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10. En Solaris 10 1/06, se han introducido las novedades siguientes:
El nuevo comando dladm para ver el estado de la interfaz se ha introducido en Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156. Se ha ampliado la compatibilidad con VLAN a las interfaces GLDv3, tal como se explica en Administracin de redes de rea local virtuales en la pgina 164. Se ha incorporado la compatibilidad con vnculos en Descripcin general de agregaciones de vnculos en la pgina 170.
En Solaris 10 8/07, /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
153
Administracin de interfaces (mapa de tareas)
Administracin de interfaces (mapa de tareas)

Comprobar el estado de las interfaces en un sistema. Agregar una sola interfaz tras la instalacin del sistema. SPARC: comprobar que la direccin MAC de una interfaz sea nica. Planificar y configurar un grupo IPMP.
Enumera todas las interfaces del Cmo obtener el estado de una sistema y comprueba cules de ellas interfaz en la pgina 155 ya estn sondeadas. Cambia un sistema a un encaminador o host mltiple configurando otra interfaz. Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156
Comprueba que la interfaz est SPARC: Cmo asegurarse de que configurada con su direccin MAC la direccin MAC de una interfaz de fbrica, en lugar de la direccin sea nica en la pgina 160 MAC del sistema (slo SPARC). Configura los fallos y las recuperaciones tras los fallos para las interfaces que son miembro de un grupo IPMP. Cmo planificar un grupo IPMP en la pgina 799 Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801
Administracin de interfaces de red individuales

Tras la instalacin de Solaris, puede configurar o administrar interfaces en un sistema para las siguientes finalidades:
Para actualizar el sistema y convertirlo en un host mltiple. Para ms informacin, consulte Configuracin de hosts mltiples en la pgina 131. Para cambiar un host por un encaminador. Para obtener instrucciones sobre cmo configurar los encaminadores, consulte Configuracin de un encaminador IPv4 en la pgina 122. Para configurar las interfaces como parte de una VLAN. Para ms informacin, consulte Administracin de redes de rea local virtuales en la pgina 164. Para configurar las interfaces como miembros de una adicin. Para obtener ms informacin, consulte Descripcin general de agregaciones de vnculos en la pgina 170. Para agregar una interfaz a un grupo IPMP. Para obtener instrucciones sobre cmo configurar un grupo IPMP, consulte Configuracin de grupos IPMP en la pgina 799.
Esta seccin incluye informacin sobre cmo configurar interfaces de red individuales, a partir de Solaris 10 1/06. Consulte las secciones siguientes para obtener informacin sobre cmo configurar las interfaces de las siguientes agrupaciones:
Para configurar las interfaces de una VLAN, consulte Administracin de redes de rea local virtuales en la pgina 164. Para configurar las interfaces de una adicin, consulte Descripcin general de agregaciones de vnculos en la pgina 170. Para configurar las interfaces como miembros de grupos IPMP, consulte Configuracin de grupos IPMP en la pgina 799.
Cmo obtener el estado de una interfaz

A partir de Solaris 10 1/06, este procedimiento explica cmo determinar qu interfaces estn disponibles en un sistema y su estado. Este procedimiento tambin muestra qu interfaces estn conectadas. Si utiliza la versin anterior, Solaris 10 3/05, consulte Cmo obtener informacin sobre una interfaz especfica en la pgina 217.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
En este paso se utiliza el comando dladm, que se explica detalladamente en la pgina del comando man dladm(1M). Este comando muestra todos los controladores de interfaces que encuentra, al margen de si las interfaces estn configuradas.
3
Determine qu interfaces del sistema estn conectadas.

# ifconfig -a
El comando ifconfig cuenta con mltiples funciones adicionales, incluida la conexin de una interfaz. Para ms informacin, consulte la pgina del comando man ifconfig(1M).
Ejemplo 61
Cmo obtener el estado de una interfaz con el comando dladm

En el ejemplo siguiente se muestra el estado con el comando dladm.
# dladm show-link ce0 type: ce1 type: bge0 type: bge1 type: bge2 type:
legacy legacy non-vlan non-vlan non-vlan
mtu: mtu: mtu: mtu: mtu:
1500 1500 1500 1500 1500
device: device: device: device: device:
ce0 ce1 bge0 bge1 bge2
Captulo 6 Administracin de interfaces de red (tareas)
155
El resultado de dladm show-link indica que hay disponibles cuatro controladores de interfaz para el host local. Pueden configurarse las interfaces ce y bge para las VLAN. Sin embargo, slo se pueden utilizar las interfaces GLDV3 con el tipo non-VLAN para las adiciones de vnculos. El ejemplo siguiente muestra la visualizacin del estado con el comando ifconfig - a.
# ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 3 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e bge0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,DHCP,IPv4>mtu 1500 index 2 inet 10.8.57.39 netmask ffffff00 broadcast 10.8.57.255 ether 0:3:ba:29:fc:cc
El resultado del comando ifconfig -a muestra las estadsticas slo para dos interfaces, ce0 y bge0. Este resultado muestra que slo se han conectado ce0 y bge0 y estn listos para ser utilizados en el trfico de red. Estas interfaces se pueden utilizar en una VLAN. Dado que se ha conectado bge0, ya no puede utilizar esta interfaz en una adicin.
Cmo configurar una interfaz fsica tras la instalacin del sistema

Utilice el procedimiento siguiente para configurar las interfaces. Si utiliza Solaris 10 3/05, siga el procedimiento Cmo agregar una interfaz fsica tras la instalacin en Solaris 10 3/05 SOLAMENTE en la pgina 145.
Antes de empezar
Determine las direcciones IPv4 que desee utilizar para las interfaces adicionales. Asegrese de que la interfaz fsica que se va a configurar est instalada en el sistema. Para obtener informacin sobre cmo instalar hardware NIC que haya adquirido por separado, consulte las instrucciones del fabricante que se incluyen con la tarjeta NIC. Si acaba de instalar la interfaz, lleve a cabo un arranque de reconfiguracin antes de continuar con la tarea siguiente.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
156
Configure y sondee todos los comandos interfaz.


tras un rearranque.
4


# ifconfig qfe0 192.168.84.3 netmask + 255.255.255.0
Nota Puede especificar una direccin IPv4 en la notacin IPv4 tradicional o la notacin CIDR. 5
Compruebe que las interfaces que acaba de configurar estn sondeadas y configuradas, o "UP".
# ifconfig -a
Compruebe la lnea de estado para cada interfaz que se muestre. Asegrese de que el resultado contenga un indicador UP en la lnea de estado, por ejemplo:
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 6
(Opcional) Para que la configuracin de la interfaz persista tras los rearranques, siga estos pasos: a. Cree un archivo /etc/hostname.interfaz para todas las interfaces que deba configurar. Por ejemplo, para agregar una interfaz qfe0, debe crear el siguiente archivo:
# vi /etc/hostname.qfe0
Nota Si crea archivos alternativos de host para la misma interfaz, tambin deben seguir el
formato de asignacin de nombres host.[0-9]*, como, por ejemplo, nombre_host.qfe0.a123. Nombres como hostname.qfe0.bak o hostname.qfe0.old no son vlidos y sern ignorados por las secuencias durante el arranque del sistema.
157
b. Edite el archivo /etc/hostname.interfaz. Como mnimo, agregue la direccin IPv4 de la interfaz al archivo. Puede utilizar la notacin IPv4 tradicional o la notacin CIDR para especificar la direccin IP de la interfaz. Tambin puede agregar al archivo una mscara de red u otra informacin de configuracin.
Nota Para agregar una direccin IPv6 a una interfaz, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191
c. Para Solaris 10 11/06 y las versiones anteriores de Solaris 10, agregue entradas para las nuevas interfaces en el archivo /etc/inet/ipnodes. d. Agregue entradas para las nuevas interfaces en el archivo /etc/inet/hosts. e. Efecte un arranque de reconfiguracin.
# reboot -- -r
f. Compruebe que la interfaz que ha creado en el archivo /etc/hostname. interfaz se haya configurado.
# ifconfig -a
Para ver un ejemplo, consulte el Ejemplo 62.

Ejemplo 62
Cmo agregar configuraciones de interfaces persistentes

El ejemplo muestra cmo configurar las interfaces qfe0 y qfe1 en un host. Estas interfaces siguen siendo persistentes tras los rearranques.
# dladm show-link eri0 type: legacy mtu: 1500 qfe0 type: legacy mtu: 1500 qfe1 type: legacy mtu: 1500 qfe2 type: legacy mtu: 1500 qfe3 type: legacy mtu: 1500 bge0 type: non-vlan mtu: 1500 # vi /etc/hostname.qfe0 192.168.84.3 netmask 255.255.255.0 # vi /etc/hostname.qfe1 192.168.84.72 netmask 255.255.255.0 # vi /etc/inet/hosts # Internet host table # 127.0.0.1 localhost 10.0.0.14 myhost 192.168.84.3 interface-2 192.168.84.72 interface-3
device: device: device: device: device: device:
eri0 qfe0 qfe1 qfe2 qfe3 bge0
158
For Solaris 10 11/06 and earlier releases:# vi /etc/inet/ipnodes 10.0.0.14 myhost 192.168.84.3 interface-2 192.168.84.72 interface-3
En este punto, debe rearrancar el sistema.

# reboot -- -r
Cuando se inicie el sistema, verifique la configuracin de la interfaz.

ifconfig -a # ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 eri0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.14netmask ff000000 broadcast 10.255.255.255 ether 8:0:20:c1:8b:c3 qfe0:flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 192.168.84.3 netmask ffffff00 broadcast 192.255.255.255 ether 8:0:20:c8:f4:1d qfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4 inet 192.168.84.72 netmask ffffff00 broadcast 10.255.255.255 ether 8:0:20:c8:f4:1e Vase tambin
Para configurar una direccin IPv6 en una interfaz, consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182. Para configurar la deteccin de fallos y la recuperacin tras un fallo para las interfaces utilizando las rutas mltiples de redes IP (IPMP), consulte el Captulo 31, Administracin de IPMP (tareas).
Cmo eliminar una interfaz fsica

Siga este procedimiento para eliminar una interfaz fsica. Si utiliza la versin anterior, Solaris 10 3/05, consulte Cmo eliminar una interfaz fsica en Solaris 10 3/05 SOLAMENTE en la pgina 148.
En el sistema cuya interfaz debe eliminar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine la interfaz fsica.
# ifconfig interface unplumb down
Captulo 6 Administracin de interfaces de red (tareas) 159
Por ejemplo, para eliminar la interfaz qfe1, debe escribir:

# ifconfig qfe1 unplumb down
SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica
Siga este procedimiento para configurar direcciones MAC. Algunas aplicaciones requieren que cada interfaz est en un host para tener una direccin MAC exclusiva. Sin embargo, cada sistema basado en SPARC tiene una direccin MAC para todo el sistema, que utilizan todas las interfaces de modo predeterminado. A continuacin se exponen dos situaciones en las que se podra configurar las direcciones MAC instaladas de fbrica para las interfaces en un sistema SPARC.
Para las adiciones de vnculos, debe utilizar las direcciones MAC de fbrica de las interfaces en la configuracin de la adicin. Para los grupos IPMP, cada interfaz del grupo debe tener una direccin MAC exclusiva. Estas interfaces deben utilizar sus direcciones MAC de fbrica.
El parmetro EEPROM local-mac-address? determina si todas las interfaces del sistema SPARC utilizan la direccin MAC de todo el sistema o una direccin MAC exclusiva. El siguiente procedimiento muestra cmo utilizar el comando eeprom para comprobar el valor actual de local-mac-address? y cambiarlo, si es preciso.
1
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine si todas las interfaces del sistema utilizan la direccin MAC del sistema.
# eeprom local-mac-address? local-mac-address?=false
En el ejemplo, la respuesta al comando eeprom, local-mac-address?=false, indica que todas las interfaces utilizan la direccin MAC del sistema. El valor de local-mac-address?=false debe cambiarse a local-mac-address?=true para que las interfaces puedan pasar a ser miembros de un grupo IPMP. Tambin debe cambiar local-mac-address?=false a local-mac-address?=true para las adiciones.
3
Si es preciso, cambie el valor de local-mac-address?, tal como se indica:

# eeprom local-mac-address?=true
160
Al rearrancar el sistema, las interfaces con las direcciones MAC de fbrica ahora utilizan esta configuracin de fbrica, en lugar de la direccin MAC de todo el sistema. Las interfaces sin las direcciones MAC de fbrica siguen utilizando la direccin MAC de todo el sistema.
4
Compruebe las direcciones MAC de todas las interfaces del sistema. Busque los casos en que varias interfaces tengan la misma direccin MAC. En este ejemplo, todas las interfaces utilizan la direccin MAC de todo el sistema, 8:0:20:0:0:1.
ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.112 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 ce0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.114 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1 ce1: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.118 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:0:0:1
Nota Contine con el paso siguiente slo si hay ms de una interfaz de red con la misma
direccin MAC. De lo contrario, vaya al ltimo paso.

5
Si es preciso, configure manualmente las interfaces restantes para que todas tengan una direccin MAC exclusiva. Especifique una direccin MAC exclusiva en el archivo /etc/hostname.interfaz para la interfaz concreta. En el ejemplo del paso 4, debe configurar ce0 y ce1 con direcciones MAC administradas localmente. Por ejemplo, para volver a configurar ce1 con la direccin MAC administrada localmente 06:05:04:03:02, debe agregar la lnea siguiente a /etc/hostname.ce1:
ether 06:05:04:03:02
Nota Para evitar la posibilidad de que una direccin MAC configurada manualmente entre en conflicto con otras direcciones MAC de la red, siempre debe configurar las direcciones MAC administradas localmente, tal como define el estndar IEEE 802.3.
Tambin puede utilizar el comando ifconfig ether para configurar la direccin MAC de una interfaz para la sesin actual. Sin embargo, los cambios que efecte directamente con ifconfig no se conservarn tras los rearranques. Consulte la pgina del comando man ifconfig(1M) para obtener ms informacin.
6
Reinicie el sistema.
Aspectos bsicos sobre la administracin de interfaces fsicas

Las interfaces de red proporcionan una conexin entre un sistema y una red. Un sistema basado en el sistema operativo Solaris puede tener dos tipos de interfaces: fsica y lgica. Las interfaces fsicas se componen de un controlador de software y un conector en el que puede conectar los medios de red, como un cable Ethernet. Las interfaces fsicas se pueden agrupar para fines administrativos o de disponibilidad. Las interfaces lgicas se configuran en interfaces fsicas existentes, normalmente para agregar direcciones y crear puntos finales de tnel en las interfaces fsicas.
Nota Las interfaces de redes lgicas se describen en las tareas en las que se utilizan: tareas IPv6,
IPMP, DHCP y otras.
La mayora de los sistemas informticos tienen como mnimo una interfaz fsica que incorpora el fabricante en la placa del sistema principal. Algunos sistemas tambin pueden tener ms de una interfaz integrada. Adems de las interfaces integradas, tambin puede agregar a un sistema interfaces que haya adquirido por separado. Una interfaz que se adquiere por separado se conoce como tarjeta de interfaz de red (NIC). Las tarjetas NIC se instalan de acuerdo con las instrucciones del fabricante.
Nota Las NIC tambin se conocen como adaptadores de red.
Durante la instalacin del sistema, el programa de instalacin de Solaris detecta las interfaces que estn instaladas fsicamente y muestra el nombre de cada interfaz. Debe configurar como mnimo una interfaz desde la lista de interfaces. La primera interfaz que se configura durante la instalacin se convierte en la interfaz de red principal. La direccin IP de la interfaz de red principal se asocia con el nombre de host configurado del sistema, que se guarda en el archivo /etc/nodename. No obstante, puede configurar interfaces adicionales durante la instalacin o posteriormente.
Nombres de interfaz de red

Cada interfaz fsica se identifica mediante un nombre de dispositivo exclusivo. Los nombres de dispositivo tienen la siguiente sintaxis:
<driver-name><instance-number>
Los nombres de controladores de los sistemas Solaris pueden incluir ce, hme, bge, e1000g y muchos otros nombres de controladores. La variable nmero_instancia puede tener un valor de cero a n, en funcin de cuntas interfaces de ese tipo de controlador haya instaladas en el sistema. Pongamos por ejemplo una interfaz 100BASE-TX Fast Ethernet, que se suele utilizar como interfaz de red principal en sistemas host y de servidor. Algunos nombres de controlador tpicos para esta interfaz son eri, qfe y hme. Cuando se utiliza como interfaz de red principal, la interfaz de Fast Ethernet tiene un nombre de dispositivo como eri0 o qfe0. Las NIC como eri o hme slo tienen una interfaz. Sin embargo, muchas marcas de NIC tienen varias interfaces. Por ejemplo, la tarjeta Quad Fast Ethernet (qfe) cuenta con cuatro interfaces, de la qfe0 a la qfe3.
Conexin de una interfaz

Una interfaz debe conectarse para que pueda haber trfico entre el sistema y la red. El proceso de conexin implica asociar una interfaz con un nombre de dispositivo. A continuacin, se configuran los flujos para que el protocolo IP pueda utilizar la interfaz. Las interfaces fsicas y las interfaces lgicas deben estar conectadas. Las interfaces se conectan como parte de la secuencia de arranque o explcitamente, con la sintaxis apropiada del comando ifconfig. Al configurar una interfaz durante la instalacin, dicha interfaz se conecta automticamente. Si no desea configurar las interfaces adicionales del sistema durante la instalacin, dichas interfaces no se conectan.
Tipos de interfaz del sistema operativo Solaris

A partir de Solaris 10 1/06, el sistema operativo Solaris admite los dos tipos de interfaces siguientes:
Interfaces heredadas: Estas interfaces son interfaces DLPI y GLDv2. Algunos tipos de interfaces heredadas son eri, qfe y ce. Al comprobar el estado de la interfaz con el comando dladm show-link, estas interfaces aparecen como heredadas. Interfaces no VLAN: Estas interfaces son interfaces GLDv3.
Nota Actualmente se admite GLDv3 en los siguientes tipos de interfaces: bge, xge y e1000g.
163
Administracin de redes de rea local virtuales

Nota Si utiliza Solaris 3/05, consulte Configuracin de VLAN en Solaris 10 3/05 SOLAMENTE en la pgina 148.
Una red de rea local virtual (VLAN) es una subdivisin de una red de rea local en la capa de vnculo de datos de la pila de protocolo TCP/IP. Puede crear redes VLAN para redes de rea local que utilicen tecnologa de nodo. Al asignar los grupos de usuarios en redes VLAN, puede mejorar la administracin de red y la seguridad de toda la red local. Tambin puede asignar interfaces del mismo sistema a redes VLAN diferentes. Es recomendable dividir una red de rea local en redes VLAN si necesita lo siguiente:
Cree una divisin lgica de grupos de trabajo. Por ejemplo, suponga que todos los hosts de la planta de un edificio estn conectados mediante una red de rea local con nodos. Puede crear una VLAN para cada grupo de trabajo de la planta.
Designe diferentes directivas de seguridad para los grupos de trabajo. Por ejemplo, las necesidades de seguridad del departamento de finanzas y el de informtica son muy diferentes. Si los sistemas de ambos departamentos comparten la misma red local, puede crear una red VLAN independiente para cada departamento. Despus, puede asignar la directiva de seguridad apropiada para cada VLAN.
Divida los grupos de trabajo en dominios de emisin administrables. El uso de redes VLAN reduce el tamao de los dominios de emisin y mejora la efectividad de la red.
Descripcin general de una configuracin VLAN

La tecnologa de red LAN con nodos permite organizar los sistemas de una red local en redes VLAN. Para poder dividir una red de rea local en redes VLAN, debe tener nodos compatibles con la tecnologa VLAN. Puede configurar todos los puertos de un nodo para que transfieran datos para una nica VLAN o para varias VLAN, segn el diseo de configuracin VLAN. Cada fabricante utiliza procedimientos diferentes para configurar los puertos de un nodo. En la figura siguiente se muestra una red de rea local con la direccin de subred 192.168.84.0. Esta red LAN est subdividida en tres redes VLAN, Roja, Amarilla y Azul.
164
Red de rea local 192.168.84.0 Host D Host C
Host E Conmutador 1 Conmutador 2
Host A
VLAN ROJA VID = 789
Host F
Host B
VLAN AZUL VID = 123
VLAN AMARILLA VID = 456
Encaminador
Otras LAN internas

FIGURA 61
Red de rea local con tres redes VLAN
Los conmutadores 1 y 2 se encargan de la conexin a la red LAN 192.168.84.0. La red VLAN contiene sistemas del grupo de trabajo Contabilidad. Los sistemas del grupo de trabajo Recursos humanos se encuentran en la red VLAN Amarilla. Los sistemas del grupo de trabajo Tecnologas de la informacin se asignan a la VLAN Azul.
Etiquetas VLAN y puntos de conexin fsicos

Cada VLAN de una red de rea local est identificada por una etiqueta VLAN, o ID VLAN (VID). El VID se asigna durante la configuracin de la red VLAN. El VID es un identificador de 12 bits entre 1 y 4094 que proporciona una identidad nica para cada VLAN. En la Figura 61, la VLAN Roja tiene el VID 789, la VLAN Amarilla tiene el VID 456 y la VLAN Azul tiene el VID 123. Al configurar los nodos para que admitan redes VLAN, es necesario asignar un VID a cada puerto. El VID del puerto debe ser el mismo que el VID asignado a la interfaz que se conecta al puerto, como se muestra en la siguiente figura.
165
Host A Conmutador 1 VID = 123 VLAN AZUL VID = 123 Host B Conmutador 2 VID = 456 VID = 456 VLAN AMARILLA
Host C Otros hosts VID = 123 Puertos

FIGURA 62
VID = 123 VLAN AZUL
Configuracin de nodos de una red con redes VLAN
La Figura 62 muestra varios hosts que estn conectados a diferentes VLAN. Hay dos hosts que pertenecen a la misma VLAN. En esta figura, las interfaces de red primaria de los tres hosts se conectan al conmutador 1. El host A es miembro de la red VLAN Azul. Por lo tanto, la interfaz del host A est configurada con el VID 123. Esta inferfaz se conecta al puerto 1 en el conmutador 1, que se configura con el VID 123. El host B es miembro de la red VLAN Amarilla con el VID 456. La interfaz del host B se conecta al puerto 5 en el conmutador 1, que se configura con el VID 456. Por ltimo, la interfaz del host C se conecta al puerto 9 en el conmutador 1. La red VLAN Azul se configura con el VID 123. La figura tambin muestra que un nico host puede tambin pertenecer a ms de una VLAN. Por ejemplo, Host A tiene dos VLAN configuradas a travs de la interfaz del host. La segunda VLAN est configurada con el VID 456 y se conecta al puerto 3 que tambin est configurado con el VID 456. Por lo tanto, el Host A es miembro del Blue VLAN y del Yellow VLAN. Durante la configuracin de la red VLAN, debe especificar el punto de conexin fsico o PPA de la red VLAN. El valor PPA se obtiene con esta frmula:
driver-name + VID * 1000 + device-instance
El nmero de instancia de dispositivo debe ser menor que 1000. Por ejemlpo, para configurar una interfaz ce1 como parte de la red VLAN 456, se creara el siguiente PPA:
ce + 456 * 1000 + 1= ce456001
Planificacin de una red para redes VLAN

Utilice el procedimiento siguiente para planificar las VLAN de la red.
Cmo planificar la configuracin de una VLAN

1
Examine la distribucin de red local y determine dnde es apropiado realizar las subdivisiones en redes VLAN. Para ver un ejemplo bsico de esta topologa, consulte la Figura 61. Cree un esquema numerado para los VID y asigne un VID a cada VLAN.
Nota Puede que ya haya un esquema numerado de VLAN en la red. En tal caso, deber crear
los VID dentro del esquema numerado de VLAN.

3
En cada sistema, determine las interfaces que deben ser miembros de una VLAN determinada. a. Determine las interfaces que se configuran en un sistema.
# dladm show-link
b. Identifique qu VID debe asociarse con cada vnculo de datos del sistema. c. Cree puntos PPA para cada interfaz que vaya a configurarse con una VLAN. No es necesario configurar todas las interfaces de un sistema en la misma red VLAN.
4
Compruebe las conexiones de las interfaces con los nodos de red. Anote el VID de cada interfaz y el puerto de nodo al que estn conectadas. Configure cada puerto del nodo con el mismo VID de la interfaz al que est conectado. Consulte la documentacin del fabricante del nodo para ver las instrucciones de configuracin.
Configuracin de redes VLAN

Nota Si utiliza Solaris 10 3/05, consulte Configuracin de VLAN en Solaris 10 3/05 SOLAMENTE en la pgina 148.
167
La versin actual del sistema operativo Solaris OS admite redes VLAN con los siguientes tipos de interfaz:

ce bge xge e1000g
De los tipos de interfaces antiguas, slo la interfaz ce puede hacerse miembro de una red VLAN. Puede configurar interfaces de diferentes tipos en la misma red VLAN.
Nota Puede configurar varias redes VLAN en un grupo IPMP. Para obtener ms informacin sobre los grupos IPMP, consulte Configuraciones de interfaces IPMP en la pgina 786.
Cmo configurar una VLAN

Si utiliza Solaris 10 3/05, siga el procedimiento Cmo configurar VLAN estticas en Solaris 10 3/05 SOLAMENTE en la pgina 149.
1
Determine los tipos de interfaces que se utilizan en el sistema.

# dladm show-link
El resultado muestra los tipos de interfaz disponibles:

ce0 ce1 bge0 bge1 bge2 3 type: legacy type: legacy type: non-vlan type: non-vlan type: non-vlan mtu: 1500 mtu: 1500 mtu: 1500 mtu: 1500 mtu: 1500 device: ce0 device: ce1 device: bge0 device: bge1 device: bge2
Configure una interfaz como parte de una red VLAN.

# ifconfig interface-PPA plumb IP-address up
Por ejemplo, para configurar la interfaz ce1 con una nueva direccin IP 10.0.0.2 en una red VLAN con el VID 123, se utilizara el siguiente comando:
# ifconfig ce123001 plumb 10.0.0.2 up
Nota Puede asignar direcciones IPv4 e IPv6 a VLAN, como sucede con otras interfaces. 4
(Optativo) Para que la configuracin VLAN persista cuando se reinicia, cree un archivo hostname.PPA de interfaz para cada interfaz configurada como parte de una VLAN.
# cat hostname.interface-PPA IPv4-address
En el nodo, configure las etiquetas y los puertos VLAN para que se correspondan con las redes VLAN configuradas en el sistema.
Ejemplo 63
Configuracin de una VLAN

En este ejemplo se muestra cmo configurar los dispositivos bge1 y bge2 en una VLAN con el VID 123.
# dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 # ifconfig bge123001 plumb 10.0.0.1 up # ifconfig bge123002 plumb 10.0.0.2 up # cat hostname.bge123001 10.0.0.1 # cat hostname.bge123002 10.0.0.2 # ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2 inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255 ether 0:3:ba:7:84:5e bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3 inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255 ether 0:3:ba:7:84:5e ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e # dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 bge123001 type: vlan 123 mtu: 1500 device: bge1 bge123002 type: vlan 123 mtu: 1500 device: bge2
Descripcin general de agregaciones de vnculos

Nota La versin original de Solaris 10 y las versiones anteriores no admiten agregaciones de
vnculos. Para crear agregaciones de vnculos para estas versiones antiguas de Solaris, utilice Sun Trunking, como se describe en la gua Sun Trunking 1.3 Installation and Users Guide. El sistema operativo Solaris permite organizar las interfaces de red en agregaciones de vnculos. Una agregacin de vnculos consiste en varias interfaces de un sistema que se configuran juntas como una unidad lgica nica. Las agregaciones de vnculos, tambin denominadas truncaciones, se definen en IEEE 802.3ad Link Aggregation Standard (http:// www.ieee802.org/3/index.html). El estndar IEEE 802.3ad Link Aggregation proporciona un mtodo para combinar la capacidad de varios vnculos Ethernet duplex en un nico vnculo lgico. Este grupo de agregacin de vnculos se trata como si fuera un nico vnculo. A continuacin se enumeran las funciones de agregaciones de vnculos:
Ancho de banda ampliado La capacidad de varios vnculos se combina en un vnculo lgico. Recuperacin de fallos automtica El trfico de un vnculo que ha fallado se transfiere a vnculos activos de la agregacin. Equilibrio de carga El trfico entrante y saliente se distribuye de acuerdo con directivas de equilibrio de carga definidas por el usuario, como las direcciones MAC e IP de origen y destino. Admisin de duplicacin Dos sistemas pueden configurarse con agregaciones paralelas. Administracin mejorada Todas las interfaces se administran como una nica unidad. Menos drenaje en el conjunto de direcciones de red Puede asignarse una direccin IP a la agregacin completa.
Conceptos bsicos de agregaciones de vnculos

La configurcin bsica de una agregacin de vnculos consta de una nica agregacin compuesta por un conjunto de interfaces fsicas. Puede usar la agregacin de vnculos bsica en las siguiente situaciones:
En sistemas con una aplicacin con un gran volumen de trfico distribuido, puede dedicar una agregacin al trfico de dicha aplicacin. Para ubicaciones con espacio de direcciones IP limitado pero que requieren una gran cantidad de ancho de banda, slo se necesita una direccin IP para una gran agregacin de interfaces.
170
Para ubicaciones que necesitan ocultar la existencia de interfaces internas, la direccin IP de la agregacin oculta las interfaces a aplicaciones externas.
La Figura 63 muestra una agregacin de un servidor que aloja un sitio web muy visitado. Este sitio requiere un gran ancho de banda para el trfico de peticiones entre los clientes en Internet y el servidor de base de datos del sitio. Por cuestiones de seguridad, la existencia de interfaces individuales en el servidor debe ocultarse a las aplicaciones externas. La solucin es la agregacin aggr1 con la direccin IP 192.168.50.32. Esta adicin se compone de tres interfaces, de bge0 a bge2. Estas interfaces se dedican a enviar el trfico de respuesta a las peticiones de los clientes. La direccin saliente del trfico de paquetes de todas las interfaces es la direccin IP de aggr1, 192.168.50.32.
aggr1 192.168.50.32
bge0 bge1 bge2

FIGURA 63
Configuracin de agregacin de vnculos bsica
La Figura 64 representa una red local con dos sistemas, cada uno con una agregacin configurada. Los dos sistemas estn conectados mediante un nodo (concentrador). Si necesita ejecutar una agregacin a travs de un nodo, el nodo debe admitir la tecnologa de agregaciones. Este tipo de configuracin resulta especialmente til para sistemas de alta disponibilidad y con duplicacin. En la figura, el Sistema A tiene una agregacin que consta de dos interfaces, bge0 y bge1. Estas interfaces estn conectadas al nodo mediante puertos agregados. El Sistema B tiene una agregacin de cuatro interfaces, de e1000g0 through e1000g3. Estas interfaces tambin estn conectadas mediante puertos agregados del nodo.
171
Red local ce0 Sistema A Conmutador con LACP
Red local ce0 Sistema B e1000g0 e1000g1 e1000g2 e1000g3
bge0 bge1
Indica una agregacin Agregacin de vnculos Puertos agregados

FIGURA 64
Configuracin de agregacin vnculos con nodo
Agregaciones de vnculos de extremo a extremo

La configuracin de agregacin de vnculos de extremo a extremo consta de dos sistemas independientes conectados directamente el uno al otro, como se muestra en la siguiente figura. Los sistemas ejecutan agregaciones paralales.
Red local ce0 Sistema A bge0 bge1 bge2 ce0 Sistema B bge0 bge1 bge2 Indica una agregacin
FIGURA 65
Configuracin de agregacin de extremo a extremo bsica
172
En esta figura, el dispositivo bge0 del Sistema A est vinculado directamente a bge0 en el Sistema B, etc. De este modo, los sistemas A y B permiten duplicacin y alta disponibilidad, as como comunicaciones a alta velocidad entre ambos sistemas. Cada sistema tambin tiene la interfaz ce0 configurada para el flujo de trfico de la red local. La aplicacin ms comn para agregaciones de vnculo de extremo a extremo son los servidores de base de datos reflejados. Ambos servidores deben actualizarse a la vez y, por lo tanto, necesitan bastante ancho de banda, flujo de trfico de alta velocidad y fiabilidad. El uso ms habitual de las agregaciones de vnculos de extremo a extremo es en los centros de datos.
Directivas y equilibrio de la carga

Si planea utilizar una agregacin de vnculos, es recomendable definir una directiva para el trfico saliente. Esta directiva puede especificar cmo deben distribuirse los paquetes entre los vnculos disponibles de una agregacin y, por lo tanto, establece el equilibrio de la carga. A continuacin se enumeran los posibles especificadores de capa y su efecto en la directiva de agregacin:

L2: determina el vnculo de salida numerando el encabezado MAC (L2) de cada paquete L3: determina el vnculo de salida numerando el encabezado IP (L3) de cada paquete L4: determina el vnculo de salida numerando el encabezado TCP, UDP u otro ULP (L4) de cada paquete
Tambin es vlida cualquier combinacin de estas directivas. La directiva predeterminada es L4. Si necesita ms informacin, consulte la pgina de comando man dladm(1M).
Modo de agregacin y nodos

Si su configuracin de agregacin requiere conexin a travs de un nodo, el nodo debe admitir el protocolo de control de agregacin de vnculos (LACP). Si el nodo admite LACP, debe configurar LACP para el nodo y la agregacin. Sin embargo, puede definir uno de los siguientes modos de funcionamiento de LACP:
Modo inactivo El modo predeterminado para agregaciones. Los paquetes LACP, llamados LACPDU no se generan. Modo activo: el sistema genera paquetes LACPDU en intervalos regulares, que puede especificar el usuario. Modo pasivo: el sistema genera un LACPDU slo cuando recibe un LACPDU del nodo. Si la agregacin y el nodo estn configurados en modo pasivo, no pueden intercambiar paquetes LACPDU.
Si necesita informacin sobre sintaxis, consulte la pgina de comando man dladm(1M) y la documentacin del fabricante del nodo.
Requisitos para agregaciones de vnculos

La configuracin de agregacin de vnculos tiene los siguientes requisitos:

Debe usar el comando dladm para configurar agregaciones. Una interfaz sondeada no puede ser miembro de una agregacin. Las interfaces deben ser del tipo GLDv3: xge, e1000g y bge. Todas las interfaces de la agregacin deben ejecutarse a la misma velocidad y en modo duplex total. Debe definir el valor de direcciones MAC en true en el parmetro EEPROM local-mac-address? Si necesita instrucciones, consulte Cmo asegurarse de que la direccin MAC de una interfaz sea nica.
Antes de empezar
Cmo crear una agregacin de vnculos

Nota Una agregacin de vnculos slo funciona en vnculos de punto a punto duplex total y con velocidad idntica. Asegrese de que las interfaces de su agregacin cumplen este requisito.
Si utiliza un nodo en su configuracin de agregacin, asegrese de hacer lo siguiente:

Configure los puertos del nodo para que se utilicen como una agregacin Si el nodo admite LACP, configure LACP en modo activo o pasivo
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Determine qu interfaces hay instaladas en el sistema.
# dladm show-link
Determine qu interfaces se han sondeado.

# ifconfig -a
Cree una agregacin.

# dladm create-aggr -d interface -d interface [...]key
interfaz clave
Representa el nombre de dispositivo de la interfaz que pasar a formar parte de la agregacin. Es el nmero que identifica la agregacin. El nmero de clave menor es 1. Los ceros no se pueden utilizar como claves.
174
Por ejemplo:
# dladm create-aggr -d bge0 -d bge1 1 5
Configure y sondee la agregacin creada.

# ifconfig aggrkey plumb IP-address up
Por ejemplo:
# ifconfig aggr1 plumb 192.168.84.14 up 6
Compruebe el estado de la agregacin que acaba de crear.

# dladm show-aggr
Recibir el siguiente resultado:

key: 1 (0x0001) policy: L4 address: device address speed bge0 0:3:ba:7:b5:a7 1000 Mbps bge1 0:3:ba:8:22:3b 0 Mbps 0:3:ba:7:84:5e duplex link full up unknown down (auto) state attached standby
El resultado muestra que se ha creado una agregacin con la clave 1 y la directiva L4.
7
(Optativo) Haga que la configuracin IP de la agregacin de vnculos persista al reiniciar. a. Para realizar agregaciones de vnculos con direcciones IPv4, cree un archivo /etc/hostname.aggrclave. Para realizar agregaciones de vnculos basadas en IPv6, cree un archivo /etc/hostname6.aggr.clave. b. Escriba la direccin IPv4 o IPv6 de la agregacin de vnculos en el archivo. Por ejemplo, para la agregacin creada en este procedimiento, se creara el siguiente archivo:
# vi /etc/hostname.aggr1 192.168.84.14
c. Efecte un arranque de reconfiguracin.

# reboot -- -r
d. Verifique que la configuracin de agregacin de vnculos especificada en el archivo /etc/hostname.aggrclave se ha configurado.

# ifconfig -a . . aggr1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 192.168.84.14 netmask ff000000 broadcast 192.255.255.
175
Ejemplo 64
Creacin de una agregacin de vnculos

Este ejemplo muestra los comandos que se utilizan para crear una agregacin de vnculos con dos dispositivos, bge0 y bge1, y el resultado.
# dladm show-link ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2 # ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e # dladm create-aggr -d bge0 -d bge1 1 # ifconfig aggr1 plumb 192.168.84.14 up # dladm show-aggr key: 1 (0x0001) policy: L4 address: 0:3:ba:7:84:5e (auto) device address speed duplex link state bge0 0:3:ba:7:b5:a7 1000 Mbps full up attached bge1 0:3:ba:8:22:3b 0 Mbps unknown down standby # ifconfig -a lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255 ether 0:3:ba:7:84:5e aggr1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 192.168.84.14 netmask ff000000 broadcast 192.255.255.255 ether 0:3:ba:7:84:5e
Como puede comprobar, las dos interfaces usadas para la agregacin se haban sondeado previamente con ifconfig.
Cmo modificar una agregacin

Este procedimiento muestra cmo realizar los siguientes cambios en una definicin de agregacin:

Modificar la directiva de la agregacin Cambiar el modo de la agregacin
176
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Modifique la agregacin para cambiar la directiva.
# dladm modify-aggr -Ppolicy key
directiva clave
Representa una o varias de las directivas L2, L3 y L4, como se explica en Directivas y equilibrio de la carga en la pgina 173. Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los ceros no se pueden utilizar como claves.
Si protocolo de control de agregacin de vnculos (LACP) se est ejecutando en el conmutador al que estn conectados los dispositivos de la agregacin, modifique la agregacin de modo que admita LACP. Si el nodo utiliza LACP en modo pasivo, asegrese de configurar el modo activo para la agregacin.
# dladm modify-aggr -l LACP mode -t timer-value key
-l modo LACP -t valor de tiempo clave
Indica el modo LACP de la agregacin. Los valores son active, passive y off. Indica el valor de tiempo LACP, short o long. Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los zeros no se pueden utilizar como claves.
Ejemplo 65
Modificacin de una agregacin de vnculos

Este ejemplo muestra cmo modificar la directiva de adicin aggr1 a L2 y, a continuacin, activar el modo LACP activo.
# dladm modify-aggr -P L2 1 # dladm modify-aggr -l active -t short 1 # dladm show-aggr key: 1 (0x0001) policy: L2 address: device address speed bge0 0:3:ba:7:b5:a7 1000 Mbps bge1 0:3:ba:8:22:3b 0 Mbps
0:3:ba:7:84:5e duplex link full up unknown down
(auto) state attached standby
177
Cmo eliminar una interfaz de una agregacin

Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine una interfaz de la agregacin.
# dladm remove-aggr -d interface
Ejemplo 66
Eliminar interfaces de una agregacin

Este ejemplo muestra cmo eliminar las interfaces de la agregacin aggr1.
# dladm show-aggr key: 1 (0x0001) policy: L2 address: device address speed bge0 0:3:ba:7:b5:a7 1000 Mbps bge1 0:3:ba:8:22:3b 0 Mbps # dladm remove-aggr -d bge1 1 # dladm show-aggr key: 1 (0x0001) policy: L2 address: device address speed bge0 0:3:ba:7:b5:a7 1000 Mbps
0:3:ba:7:84:5e (auto) duplex link state full up attached
Cmo eliminar una agregacin

Elimine la agregacin.
# dladm delete-aggr key
clave
Es un nmero que identifica la agregacin. El nmero de clave menor es 1. Los zeros no se pueden utilizar como claves.
Ejemplo 67
Cmo eliminar una agregacin

Este ejemplo muestra cmo eliminar la agregacin aggr1.
178
# dladm show-aggr key: 1 (0x0001) policy: L2 device address # dladm delete-aggr -d 1
address: 0:3:ba:7:84:5e (auto) speed duplex link state
Cmo configurar VLAN a travs de una adicin de vnculos

Del mimo modo en que se configura VLAN a travs de una interfaz, tambin se pueden crear VLAN en una adicin de vnculos. Puede ver descripciones de VLAN en Administracin de redes de rea local virtuales en la pgina 164. En esta seccin se combina la configuracin de VLAN y las adiciones de vnculos.
Antes de empezar
Configure en primer lugar la adicin de vnculos con una direccin IP vlida. Tenga en cuenta el valor de la clave de la adicin que necesitar cuando se cree el VLAN a travs de la adicin. Para crear adiciones de vnculos, consulte Cmo crear una agregacin de vnculos en la pgina 174. Si ya se ha creado una adicin de vnculo, obtenga la clave de dicha adicin.
# dladm show-aggr
Cree el VLAN a travs de la adicin de vnculos.

# ifconfig aggrVIDkey plumb
donde VID clave El ID de la VLAN La tecla de la adicin de vnculos a travs de la cual se ha creado el VLAN. La tecla debe tener un formato de 3 dgitos. Por ejemplo, si la tecla de adicin es 1, el nmero de tecla que se incluye en el nombre de la VLAN es 001.
3 4 5
Repita el paso 2 para crear otras VLAN a travs de la adicin. Configure las VLAN con direcciones IP vlidas. Para crear configuraciones VLAN persistentes, agregue la informacin de la direccin IP a los archivos de configuracin /etc/hostname.VLAN correspondientes.
179
Ejemplo 68
Configuracin de varias VLAN a travs de una adicin de vnculos

En este ejemplo se configuran dos VLAN en una adicin de vnculos. La salida del comando dladm show-aggr indica que la clave de adicin del vnculo es 1. A las VLAN se asignan los VID 193 y 194, respectivamente.
# dladm show-aggr key: 1 (0x0001) policy: L4 address: device address speed bge0 0:3:ba:7:b5:a7 1000 Mbps bge1 0:3:ba:8:22:3b 0 Mbps # ifconfig aggr193001 plumb # ifconfig aggr193001 192.168.10.5/24 up # ifconfig aggr194001 plumb # ifconfig aggr194001 192.168.10.25/24 up # vi /etc/hostname.aggr193001 192.168.10.5/24 # vi /etc/hostname.aggr194001 192.168.10.25/24
180
C A P T U L O
Configuracin de una red IPv6 (tareas).
Este captulo presenta tareas para configurar IPv6 en una red. Se tratan los temas principales siguientes:

Configuracin de una interfaz de IPv6 en la pgina 181 Habilitacin de IPv6 en una interfaz (mapa de tareas) en la pgina 182 Configuracin de un encaminador IPv6 en la pgina 187 Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191 Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas) en la pgina 192 Configuracin de tneles para compatibilidad con IPv6 en la pgina 200 Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199 Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209
Para obtener una descripcin general de los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin sobre tareas de planificacin de IPv6, consulte el Captulo 4, Planificacin de una red IPv6 (tareas). Para buscar informacin de referencia sobre las tareas del presente captulo, consulte el Captulo 11, IPv6 en profundidad (referencia).
Configuracin de una interfaz de IPv6

Lo primero que debe hacerse es habilitar IPv6 en una interfaz. La admisin de IPv6 puede establecerse durante la instalacin de Solaris 10 o configurando IPv6 en las interfaces de un sistema instalado. En el proceso de instalacin de Solaris 10, IPv6 se puede habilitar en una o varias interfaces del sistema. Tras la instalacin, se colocan los siguientes archivos y tablas relativos a IPv6:
Cada interfaz habilitada para IPv6 tiene asociado un archivo /etc/hostname6.interfaz, por ejemplo hostname6.dmfe0.
181
En Solaris 10 11/06 y versiones anteriores, se ha creado el archivo /etc/inet/ipnodes. Despus de la instalacin, en general este archivo slo contiene las direcciones de bucle de retorno de IPv6 e IPv4. Se ha modificado el archivo /etc/nsswitch.conf para permitir bsquedas mediante direcciones IPv6. Se crea la tabla de directrices de seleccin de direcciones IPv6. En esta tabla se da prioridad al formato de direcciones IP que debe utilizarse en las transmisiones a travs de una interfaz habilitada para IPv6.
En esta seccin se explica cmo habilitar IPv6 en las interfaces de un sistema instalado.
Habilitacin de IPv6 en una interfaz (mapa de tareas)

Habilitar IPv6 en una interfaz de un sistema en el que ya se haya instalado el sistema operativo Solaris 10. Mantener la interfaz habilitada para IPv6 en los rearranques. Desactivar la configuracin automtica de direcciones IPv6.
Esta tarea se utiliza para habilitar IPv6 en una interfaz despus de haberse instalado el sistema operativo Solaris 10.
Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182
Esta tarea se utiliza para convertir Cmo habilitar interfaces de IPv6 en permanente la direccin IPv6 de de manera permanente la interfaz. en la pgina 184 Esta tarea se utiliza para configurar Cmo desactivar la configuracin manualmente la seccin del ID de automtica de direcciones IPv6 interfaz de la direccin IPv6. en la pgina 186
Cmo habilitar una interfaz de IPv6 para la sesin actual

Comience el proceso de configuracin de IPv6. Para ello, habilite IPv6 en las interfaces de todos los sistemas que se convertirn en nodos de IPv6. Al principio, la interfaz obtiene su direccin IPv6 mediante el proceso de configuracin automtica, como se explica en Configuracin automtica de direcciones IPv6 en la pgina 84. Posteriormente, puede adaptar a su conveniencia la configuracin del nodo a partir de su funcin en la red IPv6 como host, servidor o encaminador.
182
Nota Si la interfaz se ubica en el mismo vnculo como encaminador que anuncia un prefijo de IPv6, la interfaz obtiene el prefijo de sitio como parte de sus direcciones configuradas automticamente. Para obtener ms informacin, consulte Cmo configurar un encaminador habilitado para IPv6 en la pgina 188.
En el procedimiento siguiente, se explica cmo habilitar IPv6 para una interfaz incorporada despus de instalar Solaris 10.
Antes de empezar
Complete las tareas de planificacin de la red IPv6, por ejemplo actualizar hardware y software, y preparar un plan direcciones. Para obtener ms informacin, consulte Planificacin de IPv6 (mapas de tareas) en la pgina 87. Inicie sesin en el posible nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Habilite IPv6 en una interfaz.
# ifconfig inet6 interface plumb up
Inicie el daemon de IPv6 in.ndpd.

# /usr/lib/inet/in.ndpd
Nota Mediante el comando ifconfig-a6, puede visualizarse el estado de las interfaces habilitadas para IPv6 de un nodo.
Ejemplo 71
Habilitacin de una interfaz para IPv6 tras la instalacin

En este ejemplo, se muestra cmo habilitar IPv6 en la interfaz qfe0. Antes de comenzar, compruebe el estado de todas las interfaces configuradas en el sistema.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000863 <UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.27.74 netmask ffffff00 broadcast 172.16.27.255 ether 0:3:ba:13:14:e1
Para este sistema slo est configurada la interfaz qfe0. Habilite IPv6 en esta interfaz de la forma que se indica a continuacin:
Captulo 7 Configuracin de una red IPv6 (tareas). 183
# ifconfig inet6 qfe0 plumb up # /usr/lib/inet/in.ndpd # ifconfig -a6 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10
En el ejemplo se muestra el estado de la interfaz del sistema antes y despus de habilitar para IPv6 la interfaz qfe0. La opcin -a6 de ifconfig muestra nicamente la informacin de IPv6 para qfe0 y la interfaz de bucle de retorno. La salida denota que slo se ha configurado una direccin local de vnculo para qfe0, fe80::203:baff:fe13:14e1/10. Esta direccin indica que hasta ahora ningn encaminador del vnculo local del nodo anuncia un prefijo de sitio. Tras habilitar IPv6, el comando ifconfig - a es apto para visualizar direcciones IPv4 e IPv6 de todas las interfaces de un sistema.
Pasos siguientes
Para configurar el nodo de IPv6 como encaminador, consulte Configuracin de un encaminador IPv6 en la pgina 187. Para mantener la configuracin de la interfaz de IPv6 en todos los rearranques, consulte Cmo habilitar interfaces de IPv6 de manera permanente en la pgina 184. Para anular la configuracin automtica de direcciones en el nodo, consulte Cmo desactivar la configuracin automtica de direcciones IPv6 en la pgina 186. Para adaptar el nodo como servidor, tenga en cuenta las sugerencias de Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 198.
Cmo habilitar interfaces de IPv6 de manera permanente

Este procedimiento explica la forma de habilitar las interfaces de IPv6 con direcciones IPv6 configuradas automticamente que se mantengan despus de rearranques sucesivos.
Nota Si la interfaz se ubica en el mismo vnculo como encaminador que anuncia un prefijo de IPv6, la interfaz obtiene el prefijo de sitio como parte de sus direcciones configuradas automticamente. Para obtener ms informacin, consulte Cmo configurar un encaminador habilitado para IPv6 en la pgina 188.
Inicie sesin en el nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
184
Cree direcciones IPv6 para interfaces que se hayan agregado despus de la instalacin.
# touch /etc/hostname6.interface
(Opcional) Cree un archivo /etc/inet/ndpd.conf que defina parmetros para variables de interfaz en el nodo. Si tiene que crear direcciones temporales para la interfaz del host, consulte Uso de direcciones temporales para una interfaz en la pgina 192. Para obtener ms informacin sobre /etc/inet/ndpd.conf, consulte la pgina de comando man ndpd.conf(4) y Archivo de configuracin ndpd.conf en la pgina 280. Rearranque el nodo.
# reboot -- -r
El proceso de rearranque enva paquetes de descubrimiento de encaminadores. Si un encaminador responde con un prefijo de sitio, el nodo puede configurar cualquier interfaz con el pertinente archivo de interfaz /etc/hostname6.interfaz con una direccin IPv6 global. De lo contrario, las interfaces habilitadas para IPv6 se configuran nicamente con direcciones locales de vnculo. Al rearrancarse tambin se reinician in.ndpd y otros daemon de red en modo IPv6.
Ejemplo 72
Cmo hacer que una interfaz de IPv6 se mantenga en los rearranques subsiguientes
En este ejemplo se muestra cmo hacer que la configuracin IPv6 de la interfaz qfe0 se mantenga en los rearranques subsiguientes. En este ejemplo, un encaminador del vnculo local anuncia el prefijo de sitio y el ID de subred 2001:db8:3c4d:15/64. En primer lugar, compruebe el estado de las interfaces del sistema.
# ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000863 <UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.27.74 netmask ffffff00 broadcast 172.16.27.255 ether 0:3:ba:13:14:e1 # touch /etc/hostname6.qfe0 # reboot -- -r
Verifique que la direccin IPv6 configurada se siga aplicando a la interfaz qfe0.

# ifconfig -a6 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10 qfe0:1: flags=2180841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2
inet6 2001:db8:3c4d:15:203:baff:fe13:14e1/64
La salida de ifconfig -a6 muestra dos entradas para qfe0. La entrada qfe0 estndar incluye la direccin MAC y la direccin local de vnculo. Una segunda entrada, qfe0:1, indica que se ha creado una pseudointerfaz para la direccin IPv6 adicional de la interfaz qfe0. La nueva direccin global IPv6, 2001:db8:3c4d:15:203:baff:fe13:14e1/64, incluye el sitio de prefijo y el ID de subred anunciado por el encaminador local.
Pasos siguientes
Para configurar el nuevo nodo de IPv6 como encaminador, consulte Configuracin de un encaminador IPv6 en la pgina 187. Para anular la configuracin automtica de direcciones en el nodo, consulte Cmo desactivar la configuracin automtica de direcciones IPv6 en la pgina 186. Para adaptar el nodo nuevo como servidor, tenga en cuenta las sugerencias de Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 198.
Cmo desactivar la configuracin automtica de direcciones IPv6

En general, la configuracin automtica de direcciones se emplea para generar las direcciones IPv6 de las interfaces de hosts y servidores. No obstante, en ocasiones quiz quiera desactivar la configuracin automtica de direcciones, sobre todo a la hora de configurar manualmente un token, como se explica en Configuracin de un token IPv6 en la pgina 195.
Inicie sesin en el nodo de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Cree un archivo /etc/inet/ndpd.conf para el nodo. El archivo /etc/inet/ndpd.conf define las variables de interfaz del nodo en particular. Este archivo debera contener lo siguiente a fin de desactivar la configuracin automtica de direcciones en todas las interfaces del servidor:
if-variable-name StatelessAddrConf false
Para obtener ms informacin sobre /etc/inet/ndpd.conf, consulte la pgina de comando man ndpd.conf(4) y Archivo de configuracin ndpd.conf en la pgina 280.
3
Actualice el daemon de IPv6 con los cambios.

# pkill -HUP in.ndpd
186

Lo primero que se hace para configurar IPv6 en una red es configurar IPv6 en un encaminador. Para configurar un encaminador debe realizar una serie de tareas que se describen en esta seccin. En funcin de los requisitos, deber efectuar todas las tareas o slo algunas de ellas.
Configuracin de IPv6 en encaminadores (mapa de tareas)

Efecte las tareas siguientes en el orden indicado en la tabla.
1. Antes de comenzar la configuracin Antes de configurar un encaminador de IPv6, compruebe que haya habilitado para IPv6, debe completar cumplido todos los requisitos previos. las tareas de planificacin e instalacin de Solaris con interfaces habilitadas para IPv6. 2. Configurar un encaminador. 3. Configurar interfaces de tnel en el encaminador. Defina el prefijo de sitio de la red. Configure en el encaminador un tnel manual o una interfaz de tnel 6to4. La red IPv6 local necesita tneles para comunicarse con otras redes IPv6 aisladas.
Captulo 4, Planificacin de una red IPv6 (tareas) y Configuracin de una interfaz de IPv6 en la pgina 181.
Cmo configurar un encaminador habilitado para IPv6 en la pgina 188

Cmo configurar un tnel 6to4 en la pgina 203 Cmo configurar manualmente IPv6 a travs de tneles IPv4 en la pgina 200 Cmo configurar manualmente tneles IPv6 a travs de IPv6 en la pgina 201 Cmo configurar tneles IPv4 a travs de IPv6 en la pgina 202
4. Configurar los conmutadores de red. 5. Configurar los concentradores de red.
Si en la configuracin de red hay conmutadores, es ahora cuando los debe configurar para IPv6. Si en la configuracin de red hay concentradores, es ahora cuando los debe configurar para IPv6.
Consulte la documentacin del fabricante de conmutadores. Consulte la documentacin del fabricante de concentradores. Cmo agregar direcciones IPv6 a DNS en la pgina 209
6. Configurar el nombre de servicio de Configure el servicio de nombres redes para IPv6. principal (DNS, NIS o LDAP) para reconocer las direcciones IPv6 despus de configurar para IPv6 el encaminador.
Captulo 7 Configuracin de una red IPv6 (tareas).
187
Tarea
Descripcin
7. (Opcional) Modificar las direcciones de las interfaces habilitadas para IPv6 en hosts y servidores. Configurar aplicaciones para que admitan IPv6.
Despus de configurar el encaminador para IPv6, realice las modificaciones pertinentes en los hosts y servidores habilitados para IPv6. Para admitir IPv6, es posible que cada aplicacin necesite unas acciones determinadas.
Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191
Consulte la documentacin de las aplicaciones.
Cmo configurar un encaminador habilitado para IPv6

Este procedimiento presupone que todas las interfaces del encaminador se han configurado para IPv6 durante la instalacin de Solaris.
En el sistema que se va a convertir en encaminador de IPv6, asuma la funcin de administrador principal o de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Revise las interfaces del encaminador que se han configurado para IPv6 durante la instalacin.
# ifconfig -a
Compruebe la salida con el fin de asegurarse de que las interfaces que quera configurar para IPv6 estn conectadas con direcciones locales de vnculo. La siguiente salida de ejemplo del comando ifconfig -a muestra las direcciones IPv4 e IPv6 que se configuraron para las interfaces del encaminador.
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 dmfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15 dmfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4 mtu 1500 index 3 inet 172.16.26.220 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:16 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 dmfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:11:b1:15 inet6 fe80::203:baff:fe11:b115/10
dmfe1: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 3 ether 0:3:ba:11:b1:16 inet6 fe80::203:baff:fe11:b116/10
Asimismo, la salida muestra que la interfaz de red principal dmfe0 y la interfaz adicional dmfe1 se configuraron durante la instalacin con las direcciones locales de vnculo IPv6 fe80::203:baff:fe11:b115/10 y fe80::203:baff:fe11:b116/10.
3
Configure el reenvo de paquetes IPv6 en todas las interfaces del encaminador. En Solaris 10 11/03 y versiones anteriores, utilice el comando siguiente:
Utilice cualquiera de las opciones siguientes para habilitar el reenvo de paquetes:

Utilice el siguiente comando de la Utilidad de gestin de servicios (SMF) como se indica:

# svcadm enable ipv6-forwarding
Inicie el daemon de encaminamiento. El daemon in.ripngd se encarga del encaminamiento de IPv6. En Solaris 10 11/06 y versiones anteriores, inicie in.ripngd escribiendo el comando siguiente:
# routeadm -e ipv6-routing # routeadm -u
Active el encaminamiento de IPv6 mediante cualquiera de las opciones siguientes:
Utilice el comando routeadm como se indica a continuacin:

Utilice SMF para habilitar el encaminamiento de IPv6:

# svcadm enable ripng:default
Para obtener informacin sobre la sintaxis del comando routeadm, consulte la pgina de comando man routeadm(1M).
5
Cree el archivo /etc/inet/ndpd.conf. Especifique el prefijo de sitio que debe anunciar el encaminador y dems datos de configuracin en /etc/inet/ndpd.conf. El daemon in.ndpd lee este archivo e implementa el protocolo de descubrimiento de vecinos de IPv6. Para obtener una lista de variables y valores admitidos, consulte Archivo de configuracin ndpd.conf en la pgina 280 y la pgina de comando man ndpd.conf(4).
Escriba el texto siguiente en el archivo /etc/inet/ndpd.conf:

ifdefault AdvSendAdvertisements true prefixdefault AdvOnLinkFlag on AdvAutonomousFlag on
Este texto indica al daemon in.ndpd que enve anuncios de encaminador en todas las interfaces del encaminador que se hayan configurado para IPv6.
7
Aada texto al archivo /etc/inet/ndpd.conf para configurar el prefijo de sitio en las distintas interfaces del encaminador. El texto debe tener el formato siguiente:
prefix global-routing-prefix:subnet ID/64 interface
El siguiente archivo de ejemplo /etc/inet/ndpd.conf configura el encaminador para que anuncie el prefijo de sitio 2001:0db8:3c4d::/48 en las interfaces dmfe0 y dmfe1.
ifdefault AdvSendAdvertisements true prefixdefault AdvOnLinkFlag on AdvAutonomousFlag on if dmfe0 AdvSendAdvertisements 1 prefix 2001:0db8:3c4d:15::0/64 dmfe0 if dmfe1 AdvSendAdvertisements 1 prefix 2001:0db8:3c4d:16::0/64 dmfe1 8
Reinicie el sistema. El encaminador de IPv6 comienza a anunciar en el vnculo cualquier prefijo de sitio que est en el archivo ndpd.conf.
Ejemplo 73
Salida de ifconfig que muestra interfaces de IPv6

El ejemplo siguiente muestra la salida del comando ifconfig - a tal como se recibira una vez finalizado el procedimiento de Configuracin de un encaminador IPv6 en la pgina 187.
lo0: flags=1000849 <UP LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 dmfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.15.232 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15 dmfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4 mtu 1500 index 3 inet 172.16.16.220 netmask ffffff00 broadcast 172.16.26.255 ether 0:3:ba:11:b1:16 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 dmfe0: flags=2100841 <UP,RUNNING,MULTICAST,ROUTER,IPv6> mtu 1500 index 2 ether 0:3:ba:11:b1:15 inet6 fe80::203:baff:fe11:b115/10
190
Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores
dmfe0:1: flags=2180841 <UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:15:203:baff:fe11:b115/64 dmfe1: flags=2100841 <UP,RUNNING,MULTICAST,ROUTER,IPv6> mtu 1500 index 3 ether 0:3:ba:11:b1:16 inet6 fe80::203:baff:fe11:b116/10 dmfe1:1: flags=2180841 <UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 3 inet6 2001:db8:3c4d:16:203:baff:fe11:b116/64
En este ejemplo, cada interfaz configurada para IPv6 dispone ahora de dos direcciones. La entrada con el nombre de la interfaz, por ejemplo dmfe0, muestra la direccin de vnculo local de dicha interfaz. La entrada con el formato interfaz:n, por ejemplo dmfe0:1, muestra una direccin IPv6 global. Esta direccin incluye el prefijo de sitio configurado en el archivo /etc/ndpd.conf, adems del ID de interfaz.
Vase tambin
Para configurar tneles desde los encaminadores identificados en la topologa de redes IPv6, consulte Configuracin de tneles para compatibilidad con IPv6 en la pgina 200. Para obtener informacin sobre cmo configurar conmutadores y concentradores en la red, consulte la documentacin del fabricante. Para configurar hosts de IPv6, consulte Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191. Para mejorar la compatibilidad de IPv6 en los servidores, consulte Administracin de interfaces habilitadas para IPv6 en servidores en la pgina 198. Para obtener ms informacin sobre comandos, archivos y daemons de IPv6, consulte Implementacin de IPv6 en Solaris 10 en la pgina 280.

Esta seccin explica el procedimiento para modificar la configuracin de interfaces habilitadas para IPv6 en nodos que son hosts o servidores. En la mayora de los casos, deber utilizar la configuracin automtica de direcciones para interfaces habilitadas para IPv6, como se explica en Descripcin general de configuracin automtica sin estado en la pgina 84. Sin embargo, la direccin IPv6 de una interfaz se puede modificar, si hace falta, como se explica en las tareas de la presente seccin.
191
Modificacin de la configuracin de una interfaz de IPv6 (mapa de tareas)

Desactivar la configuracin automtica de direcciones IPv6. Cree una direccin temporal para un host.
Esta tarea se utiliza para configurar Cmo desactivar la configuracin manualmente la seccin del ID de automtica de direcciones IPv6 interfaz de la direccin IPv6. en la pgina 186 Oculte el ID de interfaz de un host. Para ello, configure una direccin temporal creada aleatoriamente que se utilice como los 64 bits inferiores de la direccin. Cree un token de 64 bits para emplearse como ID de interfaz en una direccin IPv6. Cmo configurar una direccin temporal en la pgina 193
Configure un token para el ID de interfaz de un sistema.
Cmo configurar un token IPv6 especificado por el usuario en la pgina 196
Uso de direcciones temporales para una interfaz

Una direccin temporal IPv6 emplea un nmero de 64 bits generado aleatoriamente como ID de interfaz, en lugar de la direccin MAC de la interfaz. Puede utilizar direcciones temporales para cualquier interfaz de un nodo de IPv6 que desee mantener annimo. Por ejemplo, puede utilizar direcciones temporales para las interfaces de un host que deba acceder a servidores web pblicos. Las direcciones temporales implementan mejoras de privacidad de IPv6. Estas mejoras se describen en RFC 3041, que est disponible en Privacy Extensions for Stateless Address Autoconfiguration in IPv6 (http://www.ietf.org/rfc/ rfc3041.txt?number=3041). Las direcciones temporales se habilitan en el archivo /etc/inet/ndpd.conf para una o varias interfaces, si es preciso. Sin embargo, a diferencia de las direcciones IPv6 estndar configuradas automticamente, una direccin temporal consta del prefijo de subred de 64 bits y un nmero de 64 bits generado aleatoriamente. Ese nmero aleatorio constituye el segmento de ID de interfaz de la direccin IPv6. Una direccin local de vnculo no se genera con la direccin temporal como ID de interfaz. Las direcciones temporales tienen un periodo de vida preferente predeterminado de un da. Al habilitar la generacin de direcciones temporales, tambin puede configurar las variables siguientes en el archivo /etc/inet/ndpd.conf: periodo de vida vlido TmpValidLifetime
192
Lapso durante el cual existe la direccin temporal; una vez transcurrido, la direccin se elimina del host.
periodo de vida preferente TmpPreferredLifetime regeneracin de direcciones
Tiempo transcurrido antes de prescindir de la direccin temporal. Ese lapso de tiempo debe ser ms breve que el periodo de vida vlido. Intervalo de tiempo antes de la conclusin del periodo de vida preferente durante el cual el host debe generar otra direccin temporal.
La duracin de las direcciones temporales se especifica de la manera siguiente: n nh nd n cantidad de segundos, que es el valor predeterminado n cantidad de horas (h) n cantidad de das (d)
Cmo configurar una direccin temporal

1
Inicie sesin en el host de IPv6 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Si es preciso, habilite IPv6 en las interfaces del host. Consulte Cmo habilitar una interfaz de IPv6 para la sesin actual en la pgina 182. Edite el archivo /etc/inet/ndpd.conf para activar la generacin de direcciones temporales.
Para configurar direcciones temporales en todas las interfaces de un host, agregue la lnea siguiente en el archivo /etc/inet/ndpd.conf:
ifdefault TmpAddrsEnabled true
Para configurar una direccin temporal para una determinada interfaz, agregue la lnea siguiente en el archivo /etc/inet/ndpd.conf:
if interface TmpAddrsEnabled true
(Opcional) Especifique el periodo de vida vlido de la direccin temporal.

ifdefault TmpValidLifetime duration
Esta sintaxis especifica el periodo de vida vlido de todas las interfaces en un host. El valor de duracin debe especificarse en segundos, horas o das. El periodo de vida vlido predeterminado es 7 das. TmpValidLifetime tambin puede usarse con las palabras clave if interfaz para especificar el periodo de vida vlido de una direccin temporal relativa a una determinada interfaz.
193
(Opcional) Especifique un periodo de vida preferente para la direccin temporal; una vez transcurrido, se prescinde de la direccin.
if interface TmpPreferredLifetime duration
Esta sintaxis especifica el periodo de vida preferente de la direccin temporal de una determinada interfaz. El periodo de vida preferente predeterminado es un da. TmpPreferredLifetime tambin se puede utilizar con la palabra clave ifdefault para indicar el periodo de vida preferente de las direcciones temporales relativas a todas las interfaces de un host.
Nota La seleccin de direcciones predeterminadas otorga una prioridad inferior a las direcciones IPv6 que se han descartado. Si se prescinde de una direccin IPv6 temporal, la seleccin de direcciones predeterminadas elige una direccin no descartada como direccin de origen de un paquete. Una direccin no descartada podra ser la direccin IPv6 generada de manera automtica o, posiblemente, la direccin IPv4 de la interfaz. Para obtener ms informacin sobre la seleccin de direcciones predeterminadas, consulte Administracin de seleccin de direcciones predeterminadas en la pgina 239. 6
(Opcional) Especifique el tiempo de generacin antes del descarte de direcciones durante el cual el host debe generar otra direccin temporal.
ifdefault TmpRegenAdvance duration
Esta sintaxis indica el tiempo de generacin antes del descarte de direccin de las direcciones temporales relativas a todas las interfaces de un host. El valor predeterminado es 5 segundos.
7
Cambie la configuracin del daemon in.ndpd.

# pkill -HUP in.ndpd # /usr/lib/inet/in.ndpd
Verifique que las direcciones temporales se hayan creado mediante la ejecucin del comando ifconfig -a6, como se indica en el Ejemplo 75. En la salida del comando ifconfig, la palabra TEMPORARY debera estar en la misma lnea en que figura la definicin de interfaz.
Ejemplo 74
Variables de direcciones temporales en el archivo /etc/inet/ndpd.conf

En el ejemplo siguiente se muestra un segmento de un archivo /etc/inet/ndpd.conf con direcciones temporales habilitadas para la interfaz de red principal.
ifdefault TmpAddrsEnabled true ifdefault TmpValidLifetime 14d
194
ifdefault TmpPreferredLifetime 7d ifdefault TmpRegenAdvance 6s
Ejemplo 75
Salida del comando ifconfig-a6 con direcciones temporales habilitadas

En este ejemplo se muestra la salida del comando ifconfig tras la creacin de direcciones temporales.
# ifconfig -a6 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 hme0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 8:0:20:b9:4c:54 inet6 fe80::a00:20ff:feb9:4c54/10 hme0:1: flags=2080841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:15:a00:20ff:feb9:4c54/64 hme0:2: flags=802080841<UP,RUNNING,MULTICAST,ADDRCONF,IPv6,TEMPORARY> mtu 1500 index 2 inet6 2001:db8:3c4d:15:7c37:e7d1:fc9c:d2cb/64
En la lnea siguiente a la interfaz hme0:2 figura la palabra TEMPORARY. Eso significa que la direccin 2001:db8:3c4d:15:7c37:e7d1:fc9c:d2cb/64 tiene un ID de interfaz temporal.
Vase tambin
Para configurar la compatibilidad del servicio de nombres para direcciones IPv6, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209. Para configurar direcciones IPv6 para un servidor, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196. Para supervisar actividades en nodos de IPv6, consulte el Captulo 8, Administracin de redes TCP/IP (tareas).
Configuracin de un token IPv6

El ID de interfaz de 64 bits de una direccin IPv6 tambin se denomina token, como se mencion en Descripcin general de las direcciones IPv6 en la pgina 76. Durante la configuracin automtica de direcciones, el token se asocia con la direccin MAC de la interfaz. En la mayora de los casos, los nodos sin encaminadores, es decir los hosts y servidores IPv6, deben utilizar sus tokens configurados automticamente. No obstante, el uso de tokens configurados automticamente puede comportar problemas en servidores cuyas interfaces se intercambien de manera rutinaria como parte de la administracin de sistemas. Si se cambia la tarjeta de interfaz, tambin se cambia la direccin MAC. Como consecuencia, los servidores que necesiten direcciones IP estables pueden tener
195
problemas. Las distintas partes de la infraestructura de red, por ejemplo DNS o NIS, pueden tener guardadas determinadas direcciones IPv6 para las interfaces del servidor. Para prevenir los problemas de cambio de direccin, puede configurar manualmente un token para emplearse como ID de interfaz en una direccin IPv6. Para crear el token, especifique un nmero hexadecimal de 64 bits o menos para ocupar la parte del ID de interfaz de la direccin IPv6. En la subsiguiente configuracin automtica de direcciones, el descubrimiento de vecinos no crea un ID de interfaz que se base en la direccin MAC de la interfaz. En lugar de ello, el token creado manualmente se convierte en el ID de interfaz. Este token queda asignado a la interfaz, incluso si se sustituye una tarjeta.
Nota La diferencia entre los tokens especificados por el usuario y las direcciones temporales es
que estas segundas se generan aleatoriamente, no las crea el usuario.
Cmo configurar un token IPv6 especificado por el usuario

Las instrucciones siguientes suelen ser tiles en el caso de servidores cuyas interfaces se reemplazan de manera rutinaria. Tambin son aptas para configurar tokens especificados por el usuario en cualquier nodo de IPv6.
1
Asuma la funcin de administrador principal o convirtase en superusuario en el nodo. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Verifique que la interfaz que desea configurar con un token est conectada. Antes de poder configurar un token para su direccin IPv6, debe estar conectada una interfaz.
# ifconfig -a6 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 0:3:ba:13:14:e1 inet6 fe80::203:baff:fe13:14e1/10
Esta salida indica que la interfaz de red qfe0 est conectada y que tiene la direccin local de vnculo fe80::203:baff:fe13:14e1/10. Esta direccin se ha configurado automticamente durante la instalacin.
3
Cree uno o varios nmeros hexadecimales de 64 bits para utilizar como tokens para las interfaces del nodo. Para obtener ejemplos de tokens, consulte Direccin unidifusin local de vnculoen la pgina 81.
196
Configure cada interfaz con un token. Utilice la forma siguiente del comando ifconfig para cada interfaz para disponer de un ID de interfaz especificado por el usuario (token):
ifconfig interface inet6 token address/64
Por ejemplo, utilice el comando siguiente para configurar la interfaz qfe0 con un token:
# ifconfig qfe0 inet6 token ::1a:2b:3c:4d/64
Repita este paso con cada interfaz que deba tener un token especificado por el usuario.
5
(Opcional) Haga que la nueva direccin IPv6 se mantenga despus de cada rearranque. a. Cree o edite un archivo /etc/hostname6.interfaz para cada interfaz que haya configurado con un token. b. Agregue el texto siguiente al final de cada archivo /etc/hostname.6 interfaz:
token ::token-name/64
Agregue, pongamos por caso, el texto siguiente al final de un archivo /etc/hostname6.interfaz:

token ::1a:2b:3c:4d/64
Una vez se haya rearrancado el sistema, el token que haya configurado en un archivo /etc/hostname6. interfaz se aplica a la direccin IPv6 de interfaz. Esta direccin IPv6 se mantiene en los sucesivos rearranques que tengan lugar.
6
Actualice el daemon de IPv6 con los cambios.

# pkill -HUP -in.ndpd
Ejemplo 76
Configuracin de un token especificado por el usuario en una interfaz de IPv6

En el ejemplo siguiente, la interfaz bge0:1 tiene una direccin IPv6 configurada automticamente. Un vnculo local del nodo anuncia el prefijo de subred 2001:db8:3c4d:152:/64. El ID de interfaz 2c0:9fff:fe56:8255 se genera a partir de la direccin MAC de bge0:1.
# ifconfig -a6 lo0: flags=2002000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6,VIRTUAL> mtu 8252 index 1 inet6 ::1/128 bge0: flags=2100801 <UP,MULTICAST,IPv6> mtu 1500 index 5 inet6 fe80::2c0:9fff:fe56:8255/10 ether 0:c0:9f:56:82:55 bge0:1: flags=2180801 <UP, MULTICAST,ADDRCONF,IPv6>mtu 1500 index 5
197
inet6 2001:db8:3c4d:152:c0:9fff:fe56:8255/64 # ifconfig bge0 inet6 token ::1a:2b:3c:4d/64 # vi /etc/hostname6.bge0 token ::1a:2b:3c:4d/64 # pkill -HUP -in.ndpd # ifconfig -a6 lo0: flags=2002000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6,VIRTUAL> mtu 8252 index 1 inet6 ::1/128 bge0: flags=2100801 <UP,MULTICAST,IPv6> mtu 1500 index 5 inet6 fe80::2c0:9fff:fe56:8255/10 ether 0:c0:9f:56:82:55 bge0:1: flags=2180801 <UP, MULTICAST,ADDRCONF,IPv6>mtu 1500 index 5 inet6 2001:db8:3c4d:152:1a:2b:3c:4d/64
Despus de configurar el token, la direccin global de la segunda lnea de estado de bge0:1 tiene configurado 1a:2b:3c:4d para su ID de interfaz.
Vase tambin
Para actualizar los servicios de nombres con las direcciones IPv6 del servidor, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209. Para supervisar el rendimiento del servidor, consulte el Captulo 8, Administracin de redes TCP/IP (tareas).
Administracin de interfaces habilitadas para IPv6 en servidores

Si tiene previsto implementar IPv6 en un servidor, debe adoptar una serie de medidas al habilitar IPv6 en las interfaces del servidor. Las decisiones repercuten en la estrategia que se aplica en la configuracin de los ID de interfaz, o tokens, de una direccin IPv6 de interfaz.
Cmo habilitar IPv6 en las interfaces de un servidor

Antes de empezar
En el procedimiento que se expone a continuacin se da por sentado lo siguiente:

El servidor ya tiene instalado el sistema operativo Solaris 10. IPv6 se ha habilitado en las interfaces del servidor durante la instalacin del sistema operativo Solaris o posteriormente, siguiendo las instrucciones de Configuracin de una interfaz de IPv6 en la pgina 181.
Si procede, actualice el software de las aplicaciones para que admitan IPv6. Numerosas aplicaciones que se ejecutan en la pila de protocolo IPv4 tambin funcionan correctamente en IPv6. Para obtener ms informacin, consulte Cmo preparar servicios de red para admitir IPv6 en la pgina 92.
198
Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas)
En el servidor, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que el prefijo de subred IPv6 est configurado en un encaminador en el mismo vnculo que el servidor. Para obtener ms informacin, consulte Configuracin de un encaminador IPv6 en la pgina 187. Aplique la estrategia pertinente relativa al ID de interfaz en las interfaces habilitadas para IPv6 del servidor. De forma predeterminada, la configuracin automtica de direcciones IPv6 utiliza la direccin MAC de una interfaz al crear la parte del ID de interfaz de la direccin IPv6. Si se conoce bien la direccin IPv6 de la interfaz, el intercambio de interfaces puede resultar problemtico. La direccin MAC de la nueva interfaz ser distinta. En el proceso de configuracin automtica de direcciones, se genera un nuevo ID de interfaz.
En una interfaz habilitada para IPv6 que no tenga previsto reemplazar, utilice la direccin IPv6 configurada automticamente como se ha indicado en Configuracin automtica de direcciones IPv6 en la pgina 84. En el caso de interfaces habilitadas para IPv6 que deben figurar como annimas fuera de la red local, plantees la posibilidad de utilizar para el ID de interfaz un token generado aleatoriamente. Para obtener instrucciones y un ejemplo, consulte Cmo configurar una direccin temporal en la pgina 193. En las interfaces habilitadas para IPv6 que tenga previsto intercambiar con regularidad, cree tokens para los ID de interfaz. Para obtener instrucciones y un ejemplo, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196.
Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas)

Configurar manualmente IPv6 en tneles de IPv4.
Se crea manualmente un tnel de Cmo configurar manualmente IPv6 en una red IPv4; solucin para IPv6 a travs de tneles IPv4 contactar con redes IPv6 remotas en la pgina 200 en dentro de una red ms grande, casi siempre una red empresarial IPv4.
199
Configuracin de tneles para compatibilidad con IPv6
Tarea
Descripcin
Se configura manualmente un tnel de IPv6 en una red IPv6; en general, se usa dentro de una red empresarial de gran tamao.
Cmo configurar manualmente tneles IPv6 a travs de IPv6 en la pgina 201
Se configura manualmente un Cmo configurar tneles IPv4 a tnel de IPv4 en una red IPv6; travs de IPv6 en la pgina 202 resulta til en redes de gran tamao con redes IPv4 e IPv6. Se crea automticamente un tnel Cmo configurar un tnel 6to4 de 6to4; solucin para conectar con en la pgina 203 un sitio de IPv6 externo por Internet. Permite un tnel a un encaminador Cmo configurar un tnel 6to4 de rels 6to4 mediante el comando hasta un encaminador de reenvo 6to4relay. 6to4 en la pgina 207
Configurar automticamente IPv6 en tneles de IPv4 (tneles de 6to4). Configurar un tnel entre un encaminador 6to4 y un encaminador de rels 6to4.

Las redes IPv6 suelen ser entidades aisladas dentro del entorno IPv4 de mayor tamao. Los nodos de la red IPv6 quiz tengan que comunicarse con nodos de redes IPv6 aisladas, ya sea dentro de la empresa o de manera remota. Lo normal es configurar un tnel entre encaminadores IPv6, si bien los hosts de IPv6 tambin sirven como puntos finales de tnel. Para obtener informacin sobre planificacin de tneles, consulte Planificacin de tneles en la topologa de red en la pgina 93. Los tneles para redes IPv6 se pueden configurar automtica o manualmente. La implementacin de IPv6 en Solaris permite los siguientes tipos de encapsulado de tneles:

IPv6 en tneles de IPv4 IPv6 en tneles de IPv6 IPv4 en tneles de IPv6 Tneles de 6to4
Para obtener descripciones conceptuales de los tneles, consulte Tneles de IPv6 en la pgina 303.
Cmo configurar manualmente IPv6 a travs de tneles IPv4

Este procedimiento describe cmo configurar un tnel desde un nodo IPv6 a un nodo IPv6 remoto a travs de una red IPv4.
200
Acceda al punto final del tnel local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname6.ip.tun n. La letra n representa el nmero de tnel, el primer tnel tiene el nmero cero. A continuacin, aada entradas siguiendo estos pasos: a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv4-source-address tdst IPv4-destination-address up
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para las direcciones IPv6 de destino.
addif IPv6-source-address IPv6-destination-address
Puede omitir este paso si quiere que la direccin se autoconfigure para esta interfaz. No es necesario configurar direcciones de vnculo local para el tnel.
3 4
Reinicie el sistema. Repita estas tareas en el punto final opuesto del tnel.
Ejemplo 77
Entrada del archivo /etc/hostname6.ip.tun para un tnel manual IPv6 a travs de IPv4
Este archivo /etc/hostname6.ip.tun de ejemplo muestra un tnel para el que las direccione de origen y las direcciones de destino globales se configuran manualmente.
tsrc 192.168.8.20 tdst 192.168.7.19 up addif 2001:db8:3c4d:8::fe12:528 2001:db8:3c4d:7:a00:20ff:fe12:1234 up
Cmo configurar manualmente tneles IPv6 a travs de IPv6

Este procedimiento describe cmo configurar un tnel desde un nodo IPv6 a un nodo IPv6 remoto a travs de una red IPv6.
Acceda al punto final del tnel local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Cree el archivo /etc/hostname6.ip6.tun n . Utilice los valores 0, 1, 2, etc. para n. A continuacin, aada entradas siguiendo estos pasos. a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv6-source-address tdst IPv6-destination-address IPv6-packet-source-address IPv6-packet-destination-address up
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para la direccin IPv6 de destino.
addif IPv6-source-address IPv6-destination-address up
Puede omitir este paso si quiere que la direccin se autoconfigure para esta interfaz. No es necesario configurar direcciones de vnculo local para el tnel.
3 4
Reinicie el sistema. Repita este procedimiento en el punto final opuesto del tnel.
Ejemplo 78
Entrada del archivo /etc/hostname6.ip6.tun para un tnel IPv6 a travs de IPv6

En este ejemplo se muestra la entrada para un tnel IPv6 a travs de IPv6.
tsrc 2001:db8:3c4d:22:20ff:0:fe72:668c tdst 2001:db8:3c4d:103:a00:20ff:fe9b:a1c3 fe80::4 fe80::61 up
Cmo configurar tneles IPv4 a travs de IPv6

Este procedimiento explica cmo configurar un tnel entre dos hosts IPv4 a travs de una red IPv6. Este procedimiento es til para redes heterogneas, con subredes IPv6 que separan subredes IPv4.
Acceda al punto final del tnel IPv4 local como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el archivo /etc/hostname.ip6.tunn. Utilice los valores 0, 1, 2, etc. para n. A continuacin, aada entradas siguiendo estos pasos: a. Aada la direccin de origen y la direccin de destino del tnel.
tsrc IPv6-source-address tdst IPv6-destination-address
202
b. (Optativo) Aada una interfaz lgica para la direccin IPv6 de origen y para la direccin IPv6 de destino.
addif IPv6-source-address IPv6-destination-address up 3 4
Reinicie el host local. Repita este procedimiento en el punto final opuesto del tnel.
Ejemplo 79
Entrada del archivo /etc/hostname6.ip6.tun para un tnel IPv4 a travs de IPv6

Este ejemplo muestra la entrada para un tnel IPv4 a travs de IPv6.
tsrc 2001:db8:3c4d:114:a00:20ff:fe72:668c tdst 2001:db8:3c4d:103:a00:20ff:fe9b:a1c3 10.0.0.4 10.0.0.61 up
Cmo configurar un tnel 6to4

Si la red IPv6 necesita comunicarse con una red IPv6 remota, es recomendable utilizar tneles 6to4 automticos. El proceso para configurar un tnel 6to4 incluye la configuracin del encaminador de lmite de sistema como un encaminador 6to4. El encaminador 6to4 funciona como el punto final de un tnel 6to4 entre la red y un encaminador de punto final de una red IPv6 remota.
Antes de empezar
Antes de configurar el encaminamiento 6to4 en una red IPv6, debe haber hecho lo siguiente:
Configurado IPv6 en todos los nodos correspondientes de la ubicacin que se vaya a definir como 6to4, como se describe en Modificacin de la configuracin de una interfaz de IPv6 para hosts y servidores en la pgina 191. Seleccionado al menos un encaminador con una conexin a una red IPv4 para que sea el encaminador 6to4. Configurado una direccin IPv4 globalmente nica para la interfaz del encaminador que se vaya a definir como 6to4 hasta la red IPv4. La direccin IPv4 debe ser esttica.
Nota No utilice una direccin IPv4 de asignacin dinmica, como se describe en el
Captulo 12, Solaris DHCP (descripcin general). Las direcciones de asignacin dinmica globales pueden cambiar cuando haya pasado un tiempo, lo que puede tener efectos negativos en la planificacin de direcciones IPv6.
203
Acceda al encaminador que vaya a definir como 6to4 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Configure una pseudo-interfaz 6to4 en el encaminador creando el archivo /etc/hostname6.ip.6to4tun0.
Si piensa usar la conversin recomendada de ID de subred=0 e ID de host=1, utilice el formato corto para /etc/hostname6.ip.6to4tun0:
tsrc IPv4-address up
Si piensa usar otras convenciones para el ID de subred e ID de host, utilice el formato largo para /etc/hostname6.ip.6to4tun0:
tsrc IPv4-address 2002:IPv4-address:subnet-ID:interface-ID:/64 up
A continuacin se muestran los parmetros requeridos para /etc/hostname6.ip.6to4tun0: tsrc direccin_IPv4 Indica que esta interfaz se utiliza como un origen de tnel. Especifica, en formato decimal con puntos, la direccin IPv4 configurada en la interfaz fsica que ser la pseudo-interfaz 6to4.
El resto de parmetros son optativos. Pero si especifica uno de los parmetros opcionales, debe especificarlos todos. 2002 direccin IPv4 ID de subred ID_interfaz /64 up Especifica el prefijo 6to4. Especifica, como notacin hexadecimal, la direccin IPv4 de la pseudo-interfaz. Especifica, como notacin hexadecimal, un ID de subred que no sea 0. Especifica un ID de interfaz que no sea 1. Indica que el prefijo 6to4 tiene una tamao de 64 bits. Configura la interfaz 6to4 como "up".
Nota Dos tneles IPv6 de la red no pueden tener la misma direccin de origen y la misma
direccicn de destino. Como resultado, se descartaran los paquetes. Este tipo de evento puede suceder si un encaminador 6to4 tambin realiza tareas de tnel mediante el comando atun. Para obtener ms informacin sobre atun, consulte la pgina de comando man tun(7M).
204
(Optativo) Cree pseudo-interfaces 6to4 adicionales en el encaminador. Cada pseudo-interfaz que se vaya a definir como 6to4 debe tener ya configurada una direccin IPv4 globlamente nica. Reinicie el encaminador 6to4. Verifique el estado de la interfaz.
# ifconfig ip.6to4tun0 inet6
4 5
Si la interfaz est configurada correctamente, recibir un resultado similar al siguiente:

ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 111.222.33.44 tunnel hop limit 60 inet6 2002:6fde:212c:10:/64 6
Edite el archivo /etc/inet/ndpd.conf para anunciar el encaminamiento 6to4. Si necesita informacin detallada, consulte la pgina de comando man ndpd.conf(4). a. Especifique la subred que recibir el anuncio en la primera lnea. Cree una entrada if con el siguiente formato:
if subnet-interface AdvSendAdvertisements 1
Por ejemplo, para anunciar el encaminamiento 6to4 a la subred conectada a la interfaz hme0, reemplace interfaz de subred por hme0.
if hme0 AdvSendAdvertisements 1
b. Aada el prefijo 6to4 como segunda lnea del anuncio. Cree una entrada prefix con el siguiente formato:
prefix 2002:IPv4-address:subnet-ID::/64 subnet-interface 7
Reinicie el encaminador. Tambin puede enviar un comando sighup al daemon /etc/inet/in.ndpd para que empiece a enviar anuncios de encaminador. Los nodos IPv6 de cada subred que recibir el prefijo 6to4 se autoconfiguran con las nuevas direcciones derivadas 6to4. Aada las nuevas direcciones derivadas 6to4 de los nodos al servicio de nombre utilizado en la ubicacin 6to4. Si necesita instrucciones, consulte Configuracin de la compatibilidad con el servicio de nombres para IPv6 en la pgina 209.
205
Ejemplo 710
Configuracin de encaminador 6to4 (Forma corta)

A continuacin puede ver un ejemplo de la forma corta de /etc/hostname6.ip.6to4tun0:
# cat /etc/hostname6.ip.6to4tun0 tsrc 111.222.33.44 up
Ejemplo 711
Configuracin de encaminador 6to4 (Forma larga)

A continuacin puede ver un ejemplo de la forma larga de /etc/hostname6.ip.6to4tun0:
# cat /etc/hostname6.ip.6to4tun0 tsrc 111.222.33.44 2002:6fde:212c:20:1/64 up
Ejemplo 712
Resultado de ifconfig que muestra la pseudo-interfaz 6to4

El siguiente ejemplo muestra el resultado del comando ifconfig para una pseudo-interfaz 6to4:
# ifconfig ip.6to4tun0 inet6 ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6> mtu 1480 index 11 inet tunnel src 192.168.87.188 tunnel hop limit 60 inet6 2002:c0a8:57bc::1/64
Ejemplo 713
Anuncio 6to4 en /etc/inet/ndpd.conf

El siguiente archivo /etc/inet/ndpd.conf de ejemplo anuncia encaminamiento 6to4 a dos subredes:
if qfe0 AdvSendAdvertisements 1 prefix 2002:c0a8:57bc:10::/64 qfe0 if qfe1 AdvSendAdvertisements 1 prefix 2002:c0a8:57bc:2::/64 qfe1
Ms informacin
Configuracin de varios encaminadores en la ubicacin 6to4

Para ubicaciones con varios encaminadores, los encaminadores que se encuentran detrs del encaminador 6to4 pueden necesitar tareas de configuracin adicionales para admitir 6to4. Si en su ubicacin se utiliza RIP, debe configurar en cada encaminador no 6to4 las rutas estticas hasta el encaminador 6to4. Si utiliza un protocolo de encaminamiento comercial, no necesita crear rutas estticas hasta el encaminador 6to4.
206
Cmo configurar un tnel 6to4 hasta un encaminador de reenvo 6to4

Precaucin Por problemas graves de seguridad, el sistema operativo Solaris tiene desactivada la compatibilidad con encaminadores de reenvo 6to4. Consulte Cuestiones de seguridad al transmitir datos mediante tnel a un encaminador de reenvo 6to4 en la pgina 246.
Antes de empezar
Antes de activar un tnel hasta un encaminador de reenvo 6to4, debe haber realizado las siguientes tareas:
Configurar un encaminador 6to4 en la ubicacin, como se ha explicado en Cmo configurar un tnel 6to4 en la pgina 203 Revisar los problemas de seguridad relacionados con el establecimiento de un tnel hasta un encaminador de reenvo 6to4
Acceda al encaminador 6to4 como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Active un tnel hasta el encaminador de reenvo 6to4 utilizando uno de los siguientes formatos:
Activar un tnel a un encaminador de reenvo 6to4 de difusin por proximidad.

# /usr/sbin/6to4relay -e
La opcin -e establece un tnel entre el encaminador 6to4 y un encaminador de reenvo 6to4 de difusin por proximidad. Los encaminadores de reenvo 6to4 de difusin por proximidad tienen la direccin IPv4 192.88.99.1. El encaminador de reenvo de difusin por proximidad que se encuentre ms cerca fsicamente de su ubicacin pasa a ser el punto final del tnel 6to4. Este encaminador de reenvo gestiona el reenvo de paquetes entre su ubicacin 6to4 y una ubicacin IPv6 nativa. Si necesita informacin detallada sobre encaminadores de reenvo 6to4 de difusin por proximidad, consulte RFC 3068, "An Anycast Prefix for 6to 4 Relay Routers" (ftp://ftp.rfc-editor.org/in-notes/rfc3068.txt).
Active un tnel hasta un encaminador de reenvo 6to4 especfico.

# /usr/sbin/6to4relay -e -a relay-router-address
207
La opcin -a indica que ha continuacin se especifica una direccin de un encaminador determinado. Reemplace direccin de encaminador de reenvo con la direccin IPv4 del encaminador de reenvo 6to4 especfico con el que quiera establecer un tnel. El tnel hasta el encaminador de reenvo 6to4 permanece activo hasta que se eilmine la pseudo-interfaz de tnel 6to4.
3
Elimine el tnel hasta el encaminador de reenvo 6to4 cuando ya no sea necesario:

# /usr/sbin/6to4relay -d
(Optativo) Haga que el tnel hasta el encaminador de reenvo 6to4 se mantenga al reiniciar. Es posible que en su ubicacin sea necesario restablecer el tnel hasta el encaminador de reenvo 6to4 cada vez que se reinicia en encaminador 6to4. Para ello, debe hacer lo siguiente: a. Edite el archivo /etc/default/inetinit. La lnea que se debe modificar se encuentra al final del archivo. b. Cambie el valor "NO" de la lnea ACCEPT6TO4RELAY=NO por "YES". c. (Optativo) Cree un tnel a un encaminador de reenvo 6to4 especfico que se mantenga al reiniciar. En el parmetro RELAY6TO4ADDR, cambie la direccin 192.88.99.1 por la direccin IPv4 del encaminador de reenvo 6to4 que quiera usar.
Ejemplo 714
Obtencin de informacin de estado sobre la compatibilidad con encaminador de reenvo 6to4

Puede usar el comando /usr/bin/6to4relay para averiguar si la compatibilidad con encaminadores de reenvo 6to4 est activada. El siguiente ejemplo muestra el resultado cuando la compatibilidad con encaminadores de reenvo 6to4 est desactivada, que es la opcin predeterminada en el sistema operativo Solaris:
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is disabled.
Si la compatibilidad con encaminadores de reenvo 6to4 est activada, recibir el siguiente resultado:
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is enabled. IPv4 destination address of Relay Router=192.88.99.1
208
Configuracin de la compatibilidad con el servicio de nombres para IPv6

En esta seccin se explica cmo configurar los servicios de nombres DNS y NIS para admitir los servicios de IPv6.
Nota LDAP admite IPv6 sin tener que realizar tareas de configuracin propias de IPv6.
Para obtener informacin exhaustiva sobre la administracin de DNS, NIS y LDAP, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Cmo agregar direcciones IPv6 a DNS

Inicie sesin en el servidor DNS principal o secundario como administrador principal o superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Edite el pertinente archivo de zona de DNS agregando registros de AAAA por cada nodo habilitado para IPv6:
host-name IN AAAA host-address
Edite el archivo de zona inversa de DNS y agregue registros PTR:

host-address IN PTR hostname
Para obtener ms informacin sobre administracin de DNS, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Ejemplo 715
Archivo de zona inversa de DNS

En este ejemplo se muestra una direccin IPv6 en el archivo de zona inversa.
$ORIGIN ip6.int. 8.2.5.0.2.1.e.f.f.f.9.2.0.0.a.0.6.5.2.9.0.0.0.0.0.0.0.0.2.0.0.0 \ IN PTR vallejo.Eng.apex.COM.
209
Adicin de direcciones IPv6 a NIS

En Solaris 10 11/06 y versiones anteriores, se haban agregado dos mapas para NIS: ipnodes.byname e ipnodes.byaddr. Dichos mapas contenan asociaciones de direcciones y nombres de host IPv4 e IPv6. Las herramientas que tienen en cuenta IPv6 utilizaban los mapas de NIS ipnodes. Los mapas de hosts.byname y hosts.byaddr slo contenan asociaciones de direcciones y nombres de host IPv4. Estos mapas no se modifican con el fin de que puedan facilitar las aplicaciones existentes. La administracin de los mapas de ipnodes se parece a la de los mapas de hosts.byname y hosts.byaddr. En Solaris 10 11/06, es importante el hecho de que, al actualizar los mapas de hosts con direcciones IPv4, tambin se actualice con la misma informacin los mapas de ipnode.
Nota Las versiones posteriores de Solaris 10 no utilizan los mapas de ipnodes. Las funciones de IPv6 de los mapas de ipnodes se mantienen ahora en los mapas de hosts.
Para obtener informacin sobre cmo administrar mapas de NIS, consulte el Captulo 5, Setting Up and Configuring NIS Service de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Cmo visualizar informacin sobre servicios de nombres de IPv6

El comando nslookup se utiliza para visualizar informacin sobre servicios de nombres de IPv6.
Desde la cuenta de usuario, ejecute el comando nslookup.

% /usr/sbin/nslookup
Se muestran la direccin y el nombre de servidor predeterminados, seguidos del smbolo de comillas angulares del comando nslookup.
2
Visualice informacin de un determinado host. Para ello, en el smbolo de comillas angulares escriba los comandos siguientes:
>set q=any >host-name
Escriba el comando siguiente para ver slo registros AAAA:

>set q=AAAA hostname
4
210
Salga del comando nslookup. Para ello, escriba exit.

Ejemplo 716
Uso del comando nslookup para visualizar informacin relativa a IPv6

En este ejemplo se muestra el resultado del comando nslookup en un entorno de red IPv6.
% /usr/sbin/nslookup Default Server: dnsserve.local.com Address: 10.10.50.85 > set q=AAAA > host85 Server: dnsserve.local.com Address: 10.10.50.85 host85.local.com > exit IPv6 address = 2::9256:a00:fe12:528
Cmo verificar que los registros PTR de DNS IPv6 se actualicen correctamente
En este procedimiento, el comando nslookup se utiliza para visualizar los registros PTR relativos a DNS IPv6.
En la cuenta de usuario, ejecute el comando nslookup.

% /usr/sbin/nslookup
Se muestran la direccin y el nombre de servidor predeterminados, seguidos del smbolo de comillas angulares del comando nslookup.
2
En el smbolo de comillas angulares, escriba lo siguiente para ver los registros PTR:
>set q=PTR
Salga del comando. Para ello, escriba exit.
Ejemplo 717
Uso del comando nslookup para visualizar registros PTR

El ejemplo siguiente muestra la visualizacin de registros PTR generada a partir del comando nslookup.
% /usr/sbin/nslookup Default Server: space1999.Eng.apex.COM Address: 192.168.15.78 > set q=PTR > 8.2.5.0.2.1.e.f.f.f.0.2.0.0.a.0.6.5.2.9.0.0.0.0.0.0.0.0.2.0.0.0.ip6.int 8.2.5.0.2.1.e.f.f.f.0.2.0.0.a.0.6.5.2.9.0.0.0.0.0.0.0.0.2.0.0.0.ip6.int name =
vallejo.ipv6.Eng.apex.COM ip6.int nameserver = space1999.Eng.apex.COM > exit
Cmo visualizar informacin de IPv6 mediante NIS

En este procedimiento, el comando ypmatch se utiliza para visualizar informacin relativa a IPv6 mediante NIS:
En la cuenta de usuario, escriba lo siguiente para visualizar direcciones IPv6 en NIS:

% ypmatch hostname hosts ipnodes.byname
Aparece la informacin relativa al nombre_host especificado.

Nota Las versiones de Solaris posteriores a 11/06 ya no incluyen los mapas de ipnodes. Las funciones relativas a IPv6 de ipnodes se mantienen ahora en los mapas de hosts.
Ejemplo 718
Salida de direcciones IPv6 con el comando ypmatch

En Solaris 10 11/06 y versiones anteriores, el ejemplo siguiente muestra los resultados de una operacin del comando ypmatch en la base de datos de ipnodes.byname .
% ypmatch farhost hosts ipnodes.byname 2001:0db8:3c4d:15:a00:20ff:fe12:5286
farhost
Cmo visualizar informacin relativa a IPv6 al margen del servicio de nombres

Este procedimiento slo se puede utilizar en Solaris 10 11/06 y versiones anteriores. En versiones posteriores, la misma operacin puede realizarse en la base de datos de hosts.
En la cuenta de usuario, escriba el comando siguiente:

% getent ipnodes hostname
Aparece la informacin relativa al nombre_host especificado.

Ejemplo 719
Visualizacin de informacin relativa a IPv6 en la base de datos de ipnodes

En el ejemplo siguiente se muestra la salida del comando getent:
212
% getent ipnodes vallejo 2001:0db8:8512:2:56:a00:fe87:9aba myhost myhost fe80::56:a00:fe87:9aba myhost myhost
213
214
C A P T U L O
Administracin de redes TCP/IP (tareas)
El presente captulo presenta tareas para la administracin de redes TCP/IP. Contiene los temas siguientes:

Tareas de administracin principales de TCP/IP (mapa de tareas) en la pgina 216 Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217 Supervisin del estado de la red con el comando netstat en la pgina 221 Sondeo de hosts remotos con el comando ping en la pgina 228 Administracin y registro de la visualizacin del estado de la red en la pgina 230 Visualizacin de informacin de encaminamiento con el comando traceroute en la pgina 233 Control de transferencias de paquetes con el comando snoop en la pgina 235 Administracin de seleccin de direcciones predeterminadas en la pgina 239
Las tareas dan por sentado que se dispone de una red TCP/IP operativa, ya sea IPv4y o IPv4/IPv6 de doble pila. Si desea implementar IPv6 en el sistema pero no lo ha hecho, para obtener ms informacin consulte los captulos siguientes:
Para programar una implementacin de IPv6, consulte el Captulo 4, Planificacin de una red IPv6 (tareas). Para configurar IPv6 y crear un entorno de red de pila doble, consulte el Captulo 7, Configuracin de una red IPv6 (tareas)..
215
Tareas de administracin principales de TCP/IP (mapa de tareas)
Tareas de administracin principales de TCP/IP (mapa de tareas)

Tarea Descripcin Para obtener informacin
Visualizar informacin de configuracin relativa a una interfaz. Visualizar asignaciones de direcciones de interfaces. Visualizar estadsticas segn el protocolo. Visualizar el estado de la red.
Determinar la configuracin actual Cmo obtener informacin sobre de cada interfaz en un sistema. una interfaz especfica en la pgina 217 Determinar las asignaciones de direcciones de todas las interfaces del sistema local. Supervisar el rendimiento de los protocolos de red en un determinado sistema. Cmo mostrar asignaciones de direccin de interfaz en la pgina 219 Cmo visualizar estadsticas por protocolo en la pgina 221
Supervisar el sistema visualizando Cmo visualizar el estado de los todos los sockets y las entradas de sockets en la pgina 225 la tabla de encaminamiento. En la salida figuran la familia de direcciones inet4 de IPv4 y la famila de direcciones inet6 de IPv6. Supervisar el rendimiento de las interfaces de red, til para resolver problemas de transmisiones. Cmo visualizar el estado de interfaces de red en la pgina 224
Visualizar el estado de las interfaces de red. Visualizar el estado de la transmisin de paquetes.
Supervisar el estado de los paquetes Cmo visualizar el estado de las conforme se van transmitiendo. transmisiones de paquetes de un determinado tipo de direccin en la pgina 227 Se controla de la salida de los comandos ping, netstat, ifconfig y traceroute. Se crea un archivo denominado inet_type. En este archivo se establece la variable DEFAULT_IP. Se visualizan todos los paquetes IP mediante el comando snoop. Cmo controlar la salida de visualizacin de comandos relacionados con IP en la pgina 230
Controlar la salida en pantalla de los comandos relacionados con IPv6.
Supervisar el trfico de la red.
Cmo supervisar trfico de redes IPv6 en la pgina 238 Cmo efectuar el seguimiento de todas las rutas en la pgina 234
Efectuar el seguimiento de todas las Se utiliza el comando traceroute rutas conocidas en los para mostrar todas las rutas. encaminadores de la red.
216
Supervisin de la configuracin de interfaz con el comando ifconfig

El comando ifconfig se utiliza para asignar direcciones IP a interfaces y configurar parmetros de interfaces manualmente. Adems, las secuencias de comandos de inicio de Solaris ejecutan ifconfig para configurar pseudo-interfaces, como los puntos finales de tnel 6to4. En este libro se presentan numerosas tareas que emplean las distintas opciones de un comando tan verstil como ifconfig. Para ver una descripcin completa de este comando, sus opciones y sus variables, consulte la pgina de comando man ifconfig(1M) A continuacin se muestra la sintaxis bsica de ifconfig: ifconfig interfaz [familia de protocolo]
Cmo obtener informacin sobre una interfaz especfica

Utilice el comando ifconfig para determinar informacin bsica sobre las interfaces de un sistema especfico. Por ejemplo, una consulta ifconfig simple proporciona la siguiente informacin:

Nombres de dispositivo de todas las interfaces de un sistema Todas las direcciones IPv4 y, si las hay, IPv6 asignadas a las interfaces Si estas interfaces estn configuradas
El siguiente procedimiento muestra cmo usar el comando ifconfig para obtener informacin de configuracin bsica sobre las interfaces de un sistema.
1
En el host local, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Obtenga informacin sobre una interfaz especfica.
# ifconfig interface
El resultado del comando ifconfig tiene el siguiente formato:
Lnea de estado La primera lnea del resultado del comando ifconfig contiene el nombre de la interfaz y marcas de estado asociadas a la interfaz. La lnea de estado tambin incluye la unidad de transmisin mxima (MTU) configurada para la interfaz y un nmero de ndice. Utilice la lnea de estado para determinar el estado actual de la interfaz.
Captulo 8 Administracin de redes TCP/IP (tareas)
217
Lnea de informacin de direccin IP La segunda lnea del resultado de ifconfig contiene la direccin IPv4 o IPv6 configurada para la interfaz. Si se trata de una direccin IPv4, la mscara de red y direccin de emisin configuradas tambin se muestran.
Lnea de direccin MAC Cuando se ejecuta el comando ifconfig como superusuario o con una funcin similar, el resultado de ifconfig contiene una tercera lnea. Para una direccin IPv4, la tercera lnea muestra la direccin MAC (direccin de capa Ethernet) asignada a la interfaz. Para una direccin IPv6, la tercera lnea del resultado muestra la direccin de vnculo local que el daemon IPv6 in.ndpd genera a partir de la direccin MAC.
Ejemplo 81
Informacin de interfaz bsica del comando ifconfig

El siguiente ejemplo muestra cmo obtener informacin sobre la interfaz eri en un host especfico con el comando ifconfig.
# ifconfig eri eri0: flags=863<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 1 inet 10.0.0.112 netmask ffffff80 broadcast 10.8.48.127 ether 8:0:20:b9:4c:54
En la siguiente tabla se muestra la informacin variable de una consulta ifconfig. Se utiliza como ejemplo el resultado anterior.
Resultado en pantalla
Variable
Descripcin
Nombre de interfaz Estado de interfaz Estado de emisin Estado de transmisin Estado multidifusin
eri0
Indica el nombre de dispositivo de la interfaz cuyo estado se solicita mediante el comando ifconfig.
flags=863<UP Muestra el estado de la interfaz, con cualquier marca asociada con la interfaz. Con esta informacin puede determinar si la interfaz est iniciada (UP) o no (DOWN ). BROADCAST Indica que la interfaz admite emisiones IPv4. Indica que el sistema est transmitiendo paquetes a travs de la interfaz. Muestra que la interfaz admite transmisiones multidifusin. La interfaz de ejemplo admite transmisiones multidifusin IPv4.
RUNNING
MULTICAST, IPv4
218
Variable
Resultado en pantalla
Descripcin
Unidad de transmisin mxima Direccin IP Mscara de red
mtu 1500
Muestra que esta interfaz tiene un tamao de transferencia mxima de 1500 octetos. Muestra la direccin IPv4 o IPv6 asignada a la interfaz. La interfaz de ejemplo eri0 tiene la direccin IPv4 10.0.0.112 . Muestra la mscara de red IPv4 de la interfaz especfica. Las direcciones IPv6 no utilizan mscaras de red.
inet 10.0.0.112 netmask ffffff80
Direccin MAC ether Muestra la direccin de capa Ethernet de la interfaz. 8:0:20:b9:4c:54
Cmo mostrar asignaciones de direccin de interfaz

Los encaminadores y hosts mltiples tienen ms de una interfaz y, a menudo, ms de una direccin IP asignada a cada interfaz. Puede usar el comando ifconfig para mostrar todas las direcciones asignadas a las interfaces de un sistema. Tambin puede usar el comando ifconfig para mostrar slo las asignaciones de direcciones IPv4 o IPv6. Para ver tambin las direcciones MAC de las interfaces, debe iniciar una sesin como superusuario o adquirir la funcin necesaria. Si necesita ms informacin sobre el comando ifconfig, consulte la pgina de comando man ifconfig(1M).
En el sistema local, asuma la funcin de administrador de red o hgase superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Obtenga informacin sobre todas las interfaces. Puede usar variaciones del comando ifconfig -a para hacer lo siguiente:
Ver todas las direcciones de todas las interfaces del sistema.

# ifconfig -a
Ver todas las direcciones IPv4 asignadas a las interfaces de un sistema.

# ifconfig -a4
Si el sistema local tiene IPv6, mostrar todas las direcciones IPv6 asignadas a las interfaces de un sistema.
ifconfig -a6
219
Ejemplo 82
Mostrar la informacin de direcciones de todas las interfaces

Este ejemplo muestra entradas de un host con una nica interfaz principal, qfe0. Aunque el resultado de ifconfig muestra que hay tres tipos de direcciones asignadas a qfe0: loopback (lo0), IPv4 (inet), e IPv6 (inet6). En la seccin IPv6 del resultado, la lnea de la interfaz qfe0 muestra la direccin IPv6 de vnculo local. La segunda direccin de qfe0 se muestra en la lnea qfe0:1 .
% ifconfig -a lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.112 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:b9:4c:54 lo0: flags=2000849 <UP,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 8:0:20:b9:4c:54 inet6 fe80::a00:20ff:feb9:4c54/10 qfe0:1: flags=2080841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64
Ejemplo 83
Mostrar la informacin de direcciones de todas las interfaces IPv4

Este ejemplo muestra la direccin IPv4 configurada para un host mltiple. No necesita ser superusuario para ejecutar este tipo de comando ifconfig.
% ifconfig -a4 lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.112 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:b9:4c:54 qfe1: flags=1004843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 10.0.0.118 netmask ffffff80 broadcast 10.0.0.127 ether 8:0:20:6f:5e:17
Ejemplo 84
Mostrar la informacin de direccin de todas las interfaces IPv6

Este ejemplo muestra slo las direcciones IPv6 configuradas para un host especfico. No necesita ser superusuario para ejecutar este tipo de comando ifconfig.
% ifconfig -a6 lo0: flags=2000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv6> mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 <UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 ether 8:0:20:b9:4c:54
220
Supervisin del estado de la red con el comando netstat
inet6 fe80::a00:20ff:feb9:4c54/10 qfe0:1: flags=2080841 <UP,RUNNING,MULTICAST,ADDRCONF,IPv6> mtu 1500 index 2 inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64
Este resultado de ifconfig muestra los tres tipos de direccin IPv6 siguientes que estn asignados a la nica interfaz de un host: lo0 Direccin en bucle IPv6. inet6 fe80::a00:20ff:feb9:4c54/10 Direccin de vnculo local asignada a la interfaz de red principal. inet6 2001:db8:3c4d:48:a00:20ff:feb9:4c54/64 Direccin IPv6, con prefijo de subred. El trmino ADDRCONF en el resultado indica que esta direccin fue autoconfigurada por el host.

El comando netstat genera visualizaciones que muestran el estado de la red y estadsticas de protocolo. El estado de los protocolos TCP, SCTP y los puntos finales de UDP puede visualizarse en formato de tabla. Tambin puede visualizarse informacin sobre la tabla de encaminamiento e informacin de interfaces. El comando netstat muestra varios tipos de datos de red, segn la opcin de lnea de comandos que se haya seleccionado. Estas visualizaciones son sumamente tiles para administrar sistemas. A continuacin se muestra la sintaxis bsica del comando netstat: netstat [-m] [-n] [-s] [-i | -r] [-f familia_direcciones] En esta seccin se describen las opciones que ms se usan del comando netstat. Para obtener ms informacin sobre todas las opciones de netstat, consulte la pgina de comando man netstat(1M).
Cmo visualizar estadsticas por protocolo

La opcin netstat -s muestra estadsticas de los protocolos UDP, TCP, SCTP, ICMP e IP.
Nota Puede utilizar su cuenta de usuario de Solaris para obtener salidas del comando netstat.
Visualice el estado del protocolo.

$ netstat -s
Captulo 8 Administracin de redes TCP/IP (tareas) 221
Ejemplo 85
Estadsticas de protocolos de red

En el ejemplo siguiente se muestra la salida del comando netstat - s. Se han truncado algunas partes. La salida puede indicar reas en que el protocolo tiene problemas. Por ejemplo, la informacin estadstica de ICMPv4 e ICMPv6 puede indicar dnde ha encontrado errores el protocolo ICMP.
RAWIP rawipInDatagrams rawipInCksumErrs rawipOutErrors UDP udpInDatagrams udpOutDatagrams TCP tcpRtoAlgorithm tcpRtoMax . . tcpListenDrop tcpHalfOpenDrop ipForwarding ipInReceives ipInAddrErrors . . ipsecInFailed ipOutIPv6 ipv6Forwarding ipv6InReceives ipv6InTooBigErrors . . rawipInOverflows ipv6OutIPv4 ICMPv4 icmpInMsgs icmpInCksumErrs . . icmpInOverflows = = 10091 = 15772 = 4 = 60000 udpInErrors udpOutErrors tcpRtoMin tcpMaxConn = = = = 0 0 400 -1 = 4701 = 0 = 0 rawipInErrors rawipOutDatagrams = = 0 4
= =
0 0
tcpListenDropQ0 tcpOutSackRetrans ipDefaultTTL ipInHdrErrors ipInCksumErrs
= = = = =
0 0 255 0 0
IPv4
= 2 =300182 = 0
= =
0 3
ipInIPv6 ipOutSwitchIPv6
= =
0 0 255 0 0
IPv6
= 2 = 13986 = 0
ipv6DefaultHopLimit = ipv6InHdrErrors = ipv6InNoRoutes =
= 0
ipv6InIPv4 ipv6OutSwitchIPv4 icmpInErrors icmpInUnknowns
= = = =
0 0 0 0
= 43593 = 0
0 icmp6InErrors = icmp6InAdminProhibs = 0 0
ICMPv6 icmp6InMsgs = 13612 icmp6InDestUnreachs = 0

222
. . icmp6OutGroupQueries= icmp6OutGroupReds = IGMP:
0 0
icmp6OutGroupResps =
12287 messages received 0 messages received with too few bytes 0 messages received with bad checksum 12287 membership queries received SCTP sctpRtoAlgorithm = vanj sctpRtoMin = 1000 sctpRtoMax = 60000 sctpRtoInitial = 3000 sctpTimHearBeatProbe = 2 sctpTimHearBeatDrop = 0 sctpListenDrop = 0 sctpInClosed = 0
Cmo visualizar el estado de protocolos de transporte

El comando netstat permite visualizar informacin sobre el estado de los protocolos de transporte. Para obtener ms informacin, consulte la pgina de comando man netstat(1M).
Visualice el estado de los protocolos de transporte TCP y SCTP en un sistema.

$ netstat
Visualice el estado de un determinado protocolo de transporte en un sistema.

$ netstat -P transport-protocol
Los valores de la variable protocolo_transporte son tcp, sctp o udp.

Ejemplo 86
Visualizacin del estado de los protocolos de transporte TCP y SCTP

En este ejemplo se muestra la salida del comando netstat bsico. Slo se muestra informacin de IPv4.
$ netstat TCP: IPv4 Local Address ----------------lhost-1.login lhost-1.login remhost-1.1014
Remote Address Swind Send-Q Rwind Recv-Q -------------------- ----- ------ ----- -----abc.def.local.Sun.COM.980 49640 0 49640 ghi.jkl.local.Sun.COM.1020 49640 1 49640 mno.pqr.remote.Sun.COM.nfsd 49640 0 49640
State ------0 ESTABLISHED 0 ESTABLISHED 0 TIME_WAIT

223
SCTP: Local Address Remote Address Swind Send-Q Rwind Recv-Q StrsI/O State ---------------- -------------- ----- ------ ------ ------ ------ ------*.echo 0.0.0.0 0 0 102400 0 128/1 LISTEN *.discard 0.0.0.0 0 0 102400 0 128/1 LISTEN *.9001 0.0.0.0 0 0 102400 0 128/1 LISTEN
Ejemplo 87
Visualizacin del estado de un determinado protocolo de transporte

En este ejemplo se muestran los resultados que se obtienen al especificar la opcin -P del comando netstat.
$ netstat -P tcp TCP: IPv4 Local Address ----------------lhost-1.login lhost.login remhost.1014 TCP: IPv6 Local Address ---------------localhost.38983 localhost.32777 localhost.38986
Remote Address Swind Send-Q Rwind Recv-Q -------------------- ----- ------ ----- -----abc.def.local.Sun.COM.980 49640 0 49640 ghi.jkl.local.Sun.COM.1020 49640 1 49640 mno.pqr.remote.Sun.COM.nfsd 49640 0 49640
State ------0 ESTABLISHED 0 ESTABLISHED 0 TIME_WAIT
Remote Address ---------------------localhost.32777 localhost.38983 localhost.38980
Swind Send-Q ------ ----49152 0 49152 0 49152 0
Rwind Recv-Q State If ------ ----------- ----49152 0 ESTABLISHED 49152 0 ESTABLISHED 49152 0 ESTABLISHED
Cmo visualizar el estado de interfaces de red

La opcin i del comando netstat muestra el estado de las interfaces de red que se configuran en el sistema local. Esta opcin permite determinar la cantidad de paquetes que transmite un sistema y que recibe cada red.
Visualice el estado de las interfaces de red.

$ netstat -i
Ejemplo 88
Visualizacin del estado de las interfaces de red

En el ejemplo siguiente se muestra el estado de un flujo de paquetes IPv4 e IPv6 a travs de las interfaces del host. Por ejemplo, la cantidad de paquetes de entrada (Ipkts) que aparece en un servidor puede aumentar cada vez que un cliente intenta arrancar, mientras que la cantidad de paquetes de salida (Opkts) no se modifica. De esta salida puede inferirse que el servidor est viendo los
224
paquetes de solicitud de arranque del cliente. Sin embargo, parece que el servidor no sabe responder. Esta confusin podra deberse a una direccin incorrecta en la base de datos hosts, ipnodes, o ethers. No obstante, si la cantidad de paquetes de entrada permanece invariable, el equipo no ve los paquetes. De este resultado puede inferirse otra clase de error, posiblemente un problema de hardware.
Name Mtu Net/Dest lo0 8232 loopback hme0 1500 host58 Address localhost host58 Ipkts Ierrs Opkts Oerrs Collis Queue 142 0 142 0 0 0 1106302 0 52419 0 0 0
Name Mtu Net/Dest Address Ipkts Ierrs Opkts Oerrs Collis lo0 8252 localhost localhost 142 0 142 0 0 hme0 1500 fe80::a00:20ff:feb9:4c54/10 fe80::a00:20ff:feb9:4c54 1106305 0 52422 0 0
Cmo visualizar el estado de los sockets

Mediante la opcin -a del comando netstat se puede visualizar el estado de los sockets en el host local.
Escriba lo siguiente para visualizar el estado de los sockets y las entradas de tabla de encaminador: Puede emplear su cuenta de usuario para ejecutar esta opcin de netstat.
% netstat -a
Ejemplo 89
Visualizacin de todos los sockets y las entradas de tabla de encaminador

La salida del comando netstat -a muestra estadsticas exhaustivas. En el ejemplo siguiente se muestran partes de una salida tpica de netstat -a.
UDP: IPv4 Local Address Remote Address State -------------------- -------------------- ------*.bootpc Idle host85.bootpc Idle *.* Unbound *.* Unbound *.sunrpc Idle *.* Unbound *.32771 Idle *.sunrpc Idle *.* Unbound *.32775 Idle *.time Idle
. . *.daytime *.echo *.discard
Idle Idle Idle
UDP: IPv6 Local Address Remote Address State If --------------------------------- --------------------------------- ---------- ----*.* Unbound *.* Unbound *.sunrpc Idle *.* Unbound *.32771 Idle *.32778 Idle *.syslog Idle . . TCP: IPv4 Local Address Remote Address Swind Send-Q Rwind Recv-Q State -------------------- -------------------- ----- ------ ----- ------ ------*.* *.* 0 0 49152 0 IDLE localhost.4999 *.* 0 0 49152 0 LISTEN *.sunrpc *.* 0 0 49152 0 LISTEN *.* *.* 0 0 49152 0 IDLE *.sunrpc *.* 0 0 49152 0 LISTEN . . *.printer *.* 0 0 49152 0 LISTEN *.time *.* 0 0 49152 0 LISTEN *.daytime *.* 0 0 49152 0 LISTEN *.echo *.* 0 0 49152 0 LISTEN *.discard *.* 0 0 49152 0 LISTEN *.chargen *.* 0 0 49152 0 LISTEN *.shell *.* 0 0 49152 0 LISTEN *.shell *.* 0 0 49152 0 LISTEN *.kshell *.* 0 0 49152 0 LISTEN *.login . . *.* 0 0 49152 0 LISTEN *TCP: IPv6 Local Address Remote Address Swind Send-Q Rwind Recv-Q State If ----------------------- ----------------------- ----- ------ ----- --------*.* *.* 0 0 49152 0 IDLE *.sunrpc *.* 0 0 49152 0 LISTEN *.* *.* 0 0 49152 0 IDLE *.32774 *.* 0 0 49152
Cmo visualizar el estado de las transmisiones de paquetes de un determinado tipo de direccin

Utilice la opcin -f del comando netstat para ver estadsticas relacionadas con transmisiones de paquetes de una determinada familia de direcciones.
Visualice estadsticas de transmisiones de paquetes de IPv4 o IPv6.

$ netstat -f inet | inet6
Para ver informacin sobre transmisiones de IPv4, escriba inet como argumento de netstat -f. Utilice inet6 como argumento de netstat -f para ver informacin de IPv6.
Ejemplo 810
Estado de transmisin de paquetes de IPv4

En el ejemplo siguiente se muestra la salida del comando netstat - f inet.
TCP: IPv4 Local Address Remote Address Swind -------------------- -------------------- ----host58.734 host19.nfsd 49640 host58.38063 host19.32782 49640 host58.38146 host41.43601 49640 host58.996 remote-host.login 49640
Send-Q Rwind ------ ----0 49640 0 49640 0 49640 0 49206
Recv-Q State ------ ------0 ESTABLISHED 0 CLOSE_WAIT 0 ESTABLISHED 0 ESTABLISHED
Ejemplo 811
Estado de transmisin de paquetes de IPv6

En el ejemplo siguiente se muestra la salida del comando netstat - f inet6.
TCP: IPv6 Local Address Remote Address Swind Send-Q Rwind Recv-Q State If ------------------ ------------------------- ----- ------ ----- ------ --------- ----localhost.38065 localhost.32792 49152 0 49152 0 ESTABLISHED localhost.32792 localhost.38065 49152 0 49152 0 ESTABLISHED localhost.38089 localhost.38057 49152 0 49152 0 ESTABLISHED
Cmo visualizar el estado de rutas conocidas

La opcin -r del comando netstat muestra la tabla de rutas del host local. En esta tabla se muestra el estado de todas las rutas de las que el host tiene conocimiento. Esta opcin de netstat puede ejecutarse desde la cuenta de usuario.
Visualice la tabla de rutas IP.

$ netstat -r
Sondeo de hosts remotos con el comando ping
Ejemplo 812
Salida de tabla de rutas con el comando netstat

En el ejemplo siguiente se muestra la salida del comando netstat - r.
Routing Table: IPv4 Destination -------------------host15 10.0.0.14 default localhost
Gateway -------------------myhost myhost distantrouter localhost
Flags Ref Use Interface ----- ----- ------ --------U 1 31059 hme0 U 1 0 hme0 UG 1 2 hme0 UH 42019361 lo0
Routing Table: IPv6 Destination/Mask Gateway Flags Ref Use If --------------------------- --------------------------- ----- --- ------ ----2002:0a00:3010:2::/64 2002:0a00:3010:2:1b2b:3c4c:5e6e:abcd U 1 0 hme0:1 fe80::/10 fe80::1a2b:3c4d:5e6f:12a2 U 1 23 hme0 ff00::/8 fe80::1a2b:3c4d:5e6f:12a2 U 1 0 hme0 default fe80::1a2b:3c4d:5e6f:12a2 UG 1 0 hme0 localhost localhost UH 9 21832 lo0
Parmetro
Descripcin
Destination Destination/Mask Gateway Flags
Indica el host que es el punto final de destino de la ruta. La tabla de ruta IPv6 muestra el prefijo de un punto final de tnel 6to4 (2002:0a00:3010:2::/64) como punto final de destino de la ruta. Especifica el portal que se usa para enviar paquetes. Indica el estado actual de la ruta. El indicador U especifica que la ruta est activa. El indicador G especifica que la ruta es a un portal. Muestra la cantidad de paquetes enviados. Indica la interfaz concreta del host local que es el punto final de origen de la transmisin.
Use Interface

El comando ping se usa para determinar el estado de un host remoto. Al ejecutar el comando ping, el protocolo ICMP enva al host un determinado datagrama para solicitar una respuesta. El protocolo ICMP se ocupa de los errores en las redes TCP/IP. Al utilizar ping, se puede saber si el host remoto dispone de conexin IP. A continuacin se muestra la sintaxis bsica del comando ping: /usr/sbin/ping host [tiempo_espera]
En esta sintaxis, host corresponde al nombre del host remoto. El argumento tiempo_espera opcional indica el tiempo en segundos para que el comando ping siga intentando contactar con el host remoto. El valor predeterminado es de 20 segundos. Para obtener ms informacin sobre sintaxis y opciones, consulte la pgina de comando man ping(1M).
Cmo determinar si un host remoto est en ejecucin

Escriba la forma siguiente del comando ping:
$ ping hostname
Si el host nombre_host acepta transmisiones ICMP, se muestra el mensaje siguiente:

hostname is alive
Este mensaje indica que nombre_host ha respondido a la solicitud de ICMP. Sin embargo, si nombre_host est desconectado o no puede recibir los paquetes de ICMP, el comando ping genera la respuesta siguiente:
no answer from hostname
Cmo determinar si un host descarta paquetes

Utilice la opcin -s del comando ping para determinar si un host remoto est en ejecucin y por otro lado pierde paquetes.
Escriba la forma siguiente del comando ping:

$ ping -s hostname
Ejemplo 813
Salida de ping para la deteccin de paquetes descartados

El comando ping -s nombre_host enva constantemente paquetes al host especificado hasta que se enva un carcter de interrupcin o finaliza el tiempo de espera. Las respuestas que aparecen en pantalla tienen un aspecto parecido al siguiente:
& ping -s host1.domain8 PING host1.domain8 : 56 data bytes 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64): 64 bytes from host1.domain8.COM (172.16.83.64):
icmp_seq=0. icmp_seq=1. icmp_seq=2. icmp_seq=3. icmp_seq=4. icmp_seq=5. icmp_seq=5.
time=1.67 ms time=1.02 ms time=0.986 ms time=0.921 ms time=1.16 ms time=1.00 ms time=1.980 ms

229
Administracin y registro de la visualizacin del estado de la red
^C ----host1.domain8 PING Statistics---7 packets transmitted, 7 packets received, 0% packet loss round-trip (ms) min/avg/max/stddev = 0.921/1.11/1.67/0.26
La estadstica de prdida de paquetes indica si el host ha descartado paquetes. Si falla el comando ping, compruebe el estado de la red que indican los comandos ifconfig y netstat. Consulte Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217 y Supervisin del estado de la red con el comando netstat en la pgina 221.

Las tareas siguientes ensean a comprobar el estado de la red mediante comandos de red perfectamente conocidos.
Cmo controlar la salida de visualizacin de comandos relacionados con IP

Puede controlar la salida de los comandos netstat e ifconfig para visualizar slo informacin de IPv4, o de IPv4 e IPv6.
1 2
Cree el archivo /etc/default/inet_type. Agregue una de las entradas siguientes a /etc/default/inet_type, segn lo que necesite la red:
Para visualizar nicamente informacin de IPv4:

DEFAULT_IP=IP_VERSION4
Para visualizar informacin de IPv4 e IPv6:

DEFAULT_IP=BOTH
o
DEFAULT_IP=IP_VERSION6
Para obtener ms informacin acerca del archivo inet_type, consulte la pgina de comando man inet_type(4).
Nota Los indicadores -4 y -6 del comando ifconfig anulan los valores establecidos en el archivo inet_type. El indicador -f del comando netstat tambin anula los valores establecidos en el archivo inet_type.
Ejemplo 814
Control de la salida para seleccionar informacin de IPv4 e IPv6
Si especifica la variable DEFAULT_IP=BOTH o DEFAULT_IP=IP_VERSION6 en el archivo inet_type, en principio debe obtenerse la salida siguiente:
% ifconfig -a lo0: flags=1000849 mtu 8232 index 1 inet 10.10.0.1 netmask ff000000 qfe0: flags=1000843 mtu 1500 index 2 inet 10.46.86.54 netmask ffffff00 broadcast 10.46.86.255 ether 8:0:20:56:a8 lo0: flags=2000849 mtu 8252 index 1 inet6 ::1/128 qfe0: flags=2000841 mtu 1500 index 2 ether 8:0:20:56:a8 inet6 fe80::a00:fe73:56a8/10 qfe0:1: flags=2080841 mtu 1500 index 2 inet6 2001:db8:3c4d:5:a00:fe73:56a8/64
Si se especifica la variable DEFAULT_IP=IP_VERSION4 o DEFAULT_IP=IP_VERSION6 en el archivo inet_type, en principio debe obtenerse la salida siguiente:
% ifconfig -a lo0: flags=849 mtu 8232 inet 10.10.0.1 netmask ff000000 qfe0: flags=843 mtu 1500 inet 10.46.86.54 netmask ffffff00 broadcast 10.46.86.255 ether 8:0:20:56:a8
Cmo registrar acciones del daemon de rutas de IPv4

Si tiene la impresin de que el comando routed, daemon de rutas de IPv4, funciona de modo incorrecto, inicie un registro que efecte el seguimiento de la actividad del daemon. El registro incluye todas las transferencias de paquetes al iniciarse el daemon routed.
En el host local, adquiera la funcin de administrador principal o la de superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Cree un archivo de registro de acciones de daemon de encaminamiento:

# /usr/sbin/in.routed /var/log-file-name
Precaucin En una red que est ocupada, este comando puede generar salida casi continua.
Ejemplo 815
Registro de red del daemon in.routed

En el ejemplo siguiente se muestra el comienzo del archivo de registro que se crea mediante el procedimiento Cmo registrar acciones del daemon de rutas de IPv4 en la pgina 231.
-- 2003/11/18 16:47:00.000000 -Tracing actions started RCVBUF=61440 Add interface lo0 #1 127.0.0.1 -->127.0.0.1/32 <UP|LOOPBACK|RUNNING|MULTICAST|IPv4> <PASSIVE> Add interface hme0 #2 10.10.48.112 -->10.10.48.0/25 <UP|BROADCAST|RUNNING|MULTICAST|IPv4> turn on RIP Add 10.0.0.0 -->10.10.48.112 metric=0 hme0 <NET_SYN> Add 10.10.48.85/25 -->10.10.48.112 metric=0 hme0 <IF|NOPROP>
Cmo efectuar el seguimiento de las actividades del daemon de descubrimiento cercano de IPv6
Si tiene la impresin de que el daemon in.ndpd funciona de modo incorrecto, inicie un registro que efecte el seguimiento de la actividad del daemon. Dicho seguimiento se refleja en la salida estndar hasta su conclusin. En el seguimiento figuran todas las transferencias de paquetes al iniciarse el daemon in.ndpd.
En el nodo IPv6 local, asuma la funcin de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Inicie el seguimiento del daemon in.ndpd.

# /usr/lib/inet/in.ndpd -t
3
232
Concluya el seguimiento a su conveniencia. Para ello, pulse la teclas Control+C.

Visualizacin de informacin de encaminamiento con el comando traceroute
Ejemplo 816
Seguimiento del daemon in.ndpd

En la salida siguiente se muestra el inicio de un seguimiento del daemon in.ndpd.
# /usr/lib/inet/in.ndpd -t Nov 18 17:27:28 Sending solicitation to ff02::2 (16 bytes) on hme0 Nov 18 17:27:28 Source LLA: len 6 <08:00:20:b9:4c:54> Nov 18 17:27:28 Received valid advert from fe80::a00:20ff:fee9:2d27 (88 bytes) on hme0 Nov 18 17:27:28 Max hop limit: 0 Nov 18 17:27:28 Managed address configuration: Not set Nov 18 17:27:28 Other configuration flag: Not set Nov 18 17:27:28 Router lifetime: 1800 Nov 18 17:27:28 Reachable timer: 0 Nov 18 17:27:28 Reachable retrans timer: 0 Nov 18 17:27:28 Source LLA: len 6 <08:00:20:e9:2d:27> Nov 18 17:27:28 Prefix: 2001:08db:3c4d:1::/64 Nov 18 17:27:28 On link flag:Set Nov 18 17:27:28 Auto addrconf flag:Set Nov 18 17:27:28 Valid time: 2592000 Nov 18 17:27:28 Preferred time: 604800 Nov 18 17:27:28 Prefix: 2002:0a00:3010:2::/64 Nov 18 17:27:28 On link flag:Set Nov 18 17:27:28 Auto addrconf flag:Set Nov 18 17:27:28 Valid time: 2592000 Nov 18 17:27:28 Preferred time: 604800

El comando traceroute efecta el seguimiento de la ruta que sigue un paquete de IP en direccin a un sistema remoto. Para obtener ms informacin sobre traceroute, consulte la pgina de comando man traceroute(1M). El comando traceroute se usa para descubrir cualquier error de configuracin de encaminamiento y errores de ruta de encaminamiento. Si no se puede conectar con un determinado host, el comando traceroute sirve para comprobar la ruta que sigue el paquete hasta el host remoto y detectar los errores que pudiera haber. Asimismo, el comando traceroute muestra el tiempo de ida y vuelta en cada portal de la ruta del host de destino. Esta informacin resulta til para analizar dnde hay trfico lento entre dos host.
233
Cmo saber la ruta de un host remoto

Para descubrir la ruta de un sistema remoto, escriba lo siguiente:
% traceroute destination-hostname
Esta forma del comando traceroute se puede ejecutar desde la cuenta de usuario.
Ejemplo 817
Uso del comando traceroute para mostrar la ruta de un host remoto

La salida siguiente del comando traceroute muestra la ruta de siete saltos de un paquete que va del sistema local nearhost al sistema remoto farhost. Tambin muestra los intervalos de tiempo que emplea el paquete en atravesar cada salto.
istanbul% traceroute farhost.faraway.com traceroute to farhost.faraway.com (172.16.64.39), 30 hops max, 40 byte packets 1 frbldg7c-86 (172.16.86.1) 1.516 ms 1.283 ms 1.362 ms 2 bldg1a-001 (172.16.1.211) 2.277 ms 1.773 ms 2.186 ms 3 bldg4-bldg1 (172.16.4.42) 1.978 ms 1.986 ms 13.996 ms 4 bldg6-bldg4 (172.16.4.49) 2.655 ms 3.042 ms 2.344 ms 5 ferbldg11a-001 (172.16.1.236) 2.636 ms 3.432 ms 3.830 ms 6 frbldg12b-153 (172.16.153.72) 3.452 ms 3.146 ms 2.962 ms 7 sanfrancisco (172.16.64.39) 3.430 ms 3.312 ms 3.451 ms
Cmo efectuar el seguimiento de todas las rutas

Este procedimiento emplea la opcin -a del comando traceroute para realizar el seguimiento de todas las rutas.
Escriba el comando siguiente en el sistema local:

% traceroute -ahost-name
Esta forma del comando traceroute se puede ejecutar desde la cuenta de usuario.
Ejemplo 818
Seguimiento de todas las rutas de un host de doble pila

En este ejemplo figuran todas las rutas de un host de doble pila.
% traceroute -a v6host.remote.com traceroute: Warning: Multiple interfaces found; using 2::56:a0:a8 @ eri0:2 traceroute to v6host (2001:db8:4a3b::102:a00:fe79:19b0),30 hops max, 60 byte packets 1 v6-rout86 (2001:db8:4a3b:56:a00:fe1f:59a1) 35.534 ms 56.998 ms * 2 2001:db8::255:0:c0a8:717 32.659 ms 39.444 ms * 3 farhost.faraway.COM (2001:db8:4a3b::103:a00:fe9a:ce7b) 401.518 ms 7.143 ms * 4 distant.remote.com (2001:db8:4a3b::100:a00:fe7c:cf35) 113.034 ms 7.949 ms *
234
Control de transferencias de paquetes con el comando snoop
5 v6host (2001:db8:4a3b::102:a00:fe79:19b0) 66.111 ms * 36.965 ms traceroute to v6host.remote.com (192.168.10.75),30 hops max,40 byte packets 1 v6-rout86 (172.16.86.1) 4.360 ms 3.452 ms 3.479 ms 2 flrmpj17u.here.COM (172.16.17.131) 4.062 ms 3.848 ms 3.505 ms 3 farhost.farway.com (10.0.0.23) 4.773 ms * 4.294 ms 4 distant.remote.com (192.168.10.104) 5.128 ms 5.362 ms * 5 v6host (192.168.15.85) 7.298 ms 5.444 ms *

El comando snoop es apto para supervisar el estado de las transferencias de datos. El comando snoop captura paquetes de red y muestra su contenido en el formato que se especifica. Los paquetes se pueden visualizar nada ms recibirse o se pueden guardar en un archivo. Si el comando snoop escribe en un archivo intermedio, es improbable que haya prdidas de paquete en situaciones de seguimiento ocupado. El propio comando snoop se utiliza para interpretar el archivo. Para capturar paquetes en y desde la interfaz predeterminada en modo promiscuo, se debe adquirir la funcin de administracin de redes o convertirse en superusuario. En el formato resumido, snoop slo muestra los datos relativos al protocolo de nivel ms alto. Por ejemplo, un paquete de NFS muestra nicamente informacin de NFS. Se suprime la informacin subyacente de RPC, UDP, IP y Ethernet; sin embargo, se puede visualizar en caso de elegir cualquiera de las opciones detalladas. Utilice el comando snoop con frecuencia y buen criterio para familiarizarse con el comportamiento normal del sistema. Para obtener asistencia en el anlisis de paquetes, busque documentacin tcnica reciente y funciones de peticin de comentarios; asimismo, solicite el consejo de un experto en un mbito determinado, por ejemplo NFS o NIS. Para obtener ms informacin sobre el comando snoop y sus opciones, consulte la pgina de comando man snoop(1M)
Cmo comprobar paquetes de todas las interfaces

En el host local, adquiera la funcin de administrador de redes o la de superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Imprima la informacin relativa a las interfaces conectadas al sistema.
# ifconfig -a
El comando snoop suele utilizar el primer dispositivo que no es de bucle de retorno, en general la interfaz de red principal.
3
Comience a capturar paquetes escribiendo el comando snoop sin argumentos, como se muestra en el Ejemplo 819. Para detener el proceso, pulse Control+C.
Ejemplo 819
Salida del comando snoop

La salida bsica que genera el comando snoop se parece a la siguiente en el caso de un host de doble pila.
% snoop Using device /dev/hme (promiscuous mode) farhost.remote.com -> myhost RLOGIN C port=993 myhost -> farhost.remote.com RLOGIN R port=993 Using device /dev/hme router5.local.com -> router5.local.com ARP R 10.0.0.13, router5.local.com is 0:10:7b:31:37:80 router5.local.com -> BROADCAST TFTP Read "network-confg" (octet) farhost.remote.com -> myhost RLOGIN C port=993 myhost -> nisserve2 NIS C MATCH 10.0.0.64 in ipnodes.byaddr nisserve2 -> myhost NIS R MATCH No such key blue-112 -> slave-253-2 NIS C MATCH 10.0.0.112 in ipnodes.byaddr myhost -> DNSserver.local.com DNS C 192.168.10.10.in-addr.arpa. Internet PTR ? DNSserver.local.com myhost DNS R 192.168.10.10.in-addr.arpa. Internet PTR niserve2. . . farhost.remote.com-> myhost RLOGIN C port=993 myhost -> farhost.remote.com RLOGIN R port=993 fe80::a00:20ff:febb: . fe80::a00:20ff:febb:e09 -> ff02::9 RIPng R (5 destinations)
Los paquetes que se capturan en esta salida muestran una seccin de inicio de sesin remoto, incluidas las bsquedas en los servidores NIS y DNS para resolver direcciones. Tambin se incluyen paquetes ARP peridicos del encaminador local y anuncios de la direccin local de vnculos IPv6 en el comando in.ripngd.
236
Cmo capturar salida del comando snoop en un archivo

En el host local, adquiera la funcin de administrador de redes o la de superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Capture una sesin de snoop en un archivo.

# snoop -o filename
Por ejemplo:
# snoop -o /tmp/cap Using device /dev/eri (promiscuous mode) 30 snoop: 30 packets captured
En el ejemplo, se han capturado 30 paquetes en un archivo que se denomina /tmp/cap. El archivo se puede ubicar en cualquier directorio que disponga de suficiente espacio en disco. La cantidad de paquetes capturados se muestra en la lnea de comandos, y permite pulsar Control+C para cancelar en cualquier momento. El comando snoop crea una evidente carga de red en el equipo host que puede distorsionar el resultado. Para ver el resultado real, snoop debe ejecutarse desde otro sistema.
3
Inspeccione el archivo de capturas de la salida del comando snoop.

# snoop -i filename
Ejemplo 820
Contenido de un archivo de capturas de la salida del comando snoop

La salida siguiente muestra distintas capturas que se pueden recibir como salida del comando snoop -i.
# snoop -i /tmp/cap 1 0.00000 fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 ICMPv6 Neighbor advertisement 2 0.16198 farhost.com -> myhost RLOGIN C port=985 3 0.00008 myhost -> farhost.com RLOGIN R port=985 10 0.91493 10.0.0.40 -> (broadcast) ARP C Who is 10.0.0.40, 10.0.0.40 ? 34 0.43690 nearserver.here.com -> 224.0.1.1 IP D=224.0.1.1 S=10.0.0.40 LEN=28, ID=47453, TO =0x0, TTL=1 35 0.00034 10.0.0.40 -> 224.0.1.1 IP D=224.0.1.1 S=10.0.0.40 LEN=28, ID=57376, TOS=0x0, TTL=47
Cmo comprobar paquetes entre un cliente y un servidor IPv4

Establezca un sistema snoop fuera de un concentrador conectado al cliente o al servidor. El tercer sistema (sistema snoop) comprueba todo el trfico involucrado, de manera que el seguimiento de snoop refleja lo que sucede realmente en la conexin. En el sistema snoop, adquiera la funcin de administrador de red o convirtase en superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Escriba el comando snoop con opciones y guarde la salida que se genere en un archivo. Inspeccione e interprete la salida. Consulte RFC 1761, Snoop Version 2 Packet Capture File Format (http://www.ietf.org/ rfc/rfc1761.txt?number=1761) para obtener ms informacin sobre el archivo de capturas del comando snoop.
3 4
Cmo supervisar trfico de redes IPv6

El comando snoop puede utilizarse para supervisar nicamente paquetes de IPv6. En el nodo local, adquiera la funcin de administrador de redes o convirtase en superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Capture paquetes de IPv6.
# snoop ip6
Para obtener ms informacin sobre el comando snoop, consulte la pgina de comando man snoop(1M).
Ejemplo 821
Visualizacin slo de trfico de redes IPv6

En el ejemplo siguiente se muestra una salida tpica que puede recibirse tras ejecutar el comando snoop ip6 en un nodo.
# snoop ip6 fe80::a00:20ff:fecd:4374 -> ff02::1:ffe9:2d27 ICMPv6 Neighbor solicitation fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 ICMPv6 Neighbor
238
Administracin de seleccin de direcciones predeterminadas
solicitation fe80::a00:20ff:fee9:2d27 -> fe80::a00:20ff:fecd:4375 ICMPv6 Neighbor solicitation fe80::a00:20ff:febb:e09 -> ff02::9 RIPng R (11 destinations) fe80::a00:20ff:fee9:2d27 -> ff02::1:ffcd:4375 ICMPv6 Neighbor solicitation

El sistema operativo Solaris permite que una sola interfaz tenga varias direcciones IP. Por ejemplo, tecnologas como IPMP permiten la conexin de varias tarjetas de interfaz de red en la misma capa de vnculo IP. Ese vnculo puede tener una o varias direcciones IP. Adems, las interfaces en sistemas compatibles con IPv6 disponen de una direccin IPv6 local de vnculo, como mnimo una direccin de encaminamiento IPv6 y una direccin IPv4 para al menos una interfaz. Cuando el sistema inicia una transaccin, una aplicacin realiza una llamada al socket getaddrinfo. getaddrinfo descubre la posible direccin que est en uso en el sistema de destino. El ncleo da prioridad a esta lista a fin de buscar el destino ms idneo para el paquete. Este proceso se denomina ordenacin de direcciones de destino. A continuacin, el nclo de Solaris selecciona el formato correspondiente para la direccin de origen, a partir de la direccin de destino ms apropiada para el paquete. El proceso se denomina seleccin de direcciones. Para obtener ms informacin sobre la ordenacin de direcciones de destino, consulte la pgina de comando man getaddrinfo(3SOCKET). Los sistemas IPv4 y de doble pila IPv4/IPv6 deben realizar una seleccin de direcciones predeterminadas. En la mayora de los casos, no hace falta cambiar los mecanismos de seleccin de direcciones predeterminadas. Sin embargo, quiz deba cambiar la prioridad de los formatos de direcciones para poder admitir IPMP o preferir los formatos de direcciones 6to4, por ejemplo.
Cmo administrar la tabla de directrices de seleccin de direcciones IPv6

A continuacin se explica el procedimiento para modificar la tabla de directrices de seleccin de direcciones. Para obtener informacin sobre la seleccin de direcciones IPv6 predeterminadas, consulte Comando ipaddrsel en la pgina 285.
239
Precaucin La tabla de directrices de seleccin de direcciones IPv6 no se debe modificar salvo por los motivos que se exponen en la tarea siguiente. Una tabla de directrices mal configurada puede ocasionar problemas en la red. Efecte una copia de seguridad de la tabla de directrices, como en el procedimiento siguiente. 1
Asuma el rol de administrador principal, o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Revise la tabla de directrices de seleccin de direcciones IPv6 actual.
# ipaddrsel # Prefix ::1/128 ::/0 2002::/16 ::/96 ::ffff:0.0.0.0/96 Precedence 50 40 30 20 10 Label Loopback Default 6to4 IPv4_Compatible IPv4
Efecte una copia de seguridad de la tabla de directrices de direcciones predeterminadas.

# cp /etc/inet/ipaddrsel.conf /etc/inet/ipaddrsel.conf.orig
Si desea personalizar la tabla, utilice un editor de textos en el archivo /etc/inet/ipaddrsel.conf. Utilice la sintaxis siguiente para las entradas del archivo /etc/inet/ipaddrsel:
prefix/prefix-length precedence label [# comment ]
A continuacin se muestran varias de las modificaciones habituales que podra querer aplicar a la tabla de directrices:
Asignar la mxima prioridad a las direcciones 6to4.

2002::/16 ::1/128 50 6to4 45 Loopback
El formato de direccin 6to4 ahora tiene la prioridad ms alta: 50. Bucle, que anteriormente presentaba una prioridad de 50, ahora presenta una prioridad de 45. Los dems formatos de direcciones siguen igual.
Designar una direccin de origen concreta que se deba utilizar en las comunicaciones con una determinada direccin de destino.
::1/128 2001:1111:1111::1/128 2001:2222:2222::/48 50 Loopback 40 ClientNet 40 ClientNet
240
::/0
40 Default
Esta entrada en concreto es til para los host que cuentan slo con una interfaz fsica. En este caso, 2001:1111:1111::1/128 se prefiere como direccin de origen de todos los paquetes cuyo destino previsto es la red 2001:2222:2222::/48. La prioridad 40 otorga una posicin preferente a la direccin de origen 2001:1111:1111::1/128 en relacin con los dems formatos de direcciones configurados para la interfaz.
Favorecer direcciones IPv4 respecto a direcciones IPv6.

::ffff:0.0.0.0/96 ::1/128 . . 60 IPv4 50 Loopback
El formato de IPv4 ::ffff:0.0.0.0/96 ha cambiado su prioridad predeterminada de 10 a 60, la prioridad mxima de la tabla.
5
Cargar en el ncleo la tabla de directrices modificada.

ipaddrsel -f /etc/inet/ipaddrsel.conf
Si la tabla de directrices modificada presenta problemas, restaure la tabla predeterminada de directrices de seleccin de direcciones IPv6.
# ipaddrsel -d
Cmo modificar la tabla de seleccin de direcciones IPv6 slo para la sesin actual
Si edita el archivo /etc/inet/ipaddrsel.conf, las modificaciones que efecte se mantendrn despus de cada rearranque. Si quiere aplicar las modificaciones nicamente en la sesin actual, siga este procedimiento.
Copie el contenido de /etc/inet/ipaddrsel en nombre_archivo; nombre_archivo es el archivo que haya seleccionado.

# cp /etc/inet/ipaddrsel filename
Modifique la tabla de directrices de nombre_archivo a su conveniencia.

Cargar en el ncleo la tabla de directrices modificada.

# ipaddrsel -f filename
El ncleo emplea la nueva tabla de directrices hasta que se vuelva a arrancar el sistema.
242
C A P T U L O
Resolucin de problemas de red (Tareas)
Este captulo contiene soluciones para problemas comunes que se pueden producir en la red. Contiene los temas siguientes:

Consejos de resolucin de problemas de red generales en la pgina 243 Problemas comunes al utilizar IPv6 en la pgina 245
Novedades de Resolucin de problemas de red

En Solaris 10 8/07, el archivo /etc/inet/ipnodes se queda obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
Consejos de resolucin de problemas de red generales

Uno de los primeros signos de que hay problemas en una red es una prdida de comunicacin de uno o varios hosts. Si un host no aparece la primera vez que se aade a la red, el problema puede ser uno de los archivos de configuracin. Tambin puede deberse a una tarjeta de interfaz de red defectuosa. Si un nico host comienza a dar problemas de manera repentina, la interfaz de red puede ser la causa. Si los hosts de una red pueden comunicarse entre ellos pero no con otras redes, el problema podra estar en el encaminador. O tambin podra estar en otra red. Puede usar el comando ifconfig para obtener informacin sobre interfaces de red. Utilice el comando netstat para ver las estadsticas de protocolo y tablas de encaminamiento. Los programas de diagnstico de otros fabricantes proporcionan varias herramientas de resolucin de problemas. Consulte la documentacin del fabricante si necesita ms informacin. Las causas de problemas que afectan al rendimiento de la red resultan ms difciles de identificar. Puede usar herramientas como ping para evaluar problemas como la prdida de paquetes de un host.
243
Consejos de resolucin de problemas de red generales
Ejecucin de comprobaciones de diganstico bsicas

Si la red tiene problemas, puede ejecutar una serie de comprobaciones de software para diagnosticar y corregir problemas bsicos relacionados con el software.
Cmo realizar comprobaciones de software de red bsicas

En el sistema local, asuma la funcin de administrador de red o hgase superusuario. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Utilice el comando netstat para ver informacin de red. Para ver la sintaxis e informacin sobre el comando netstat, consulte Supervisin del estado de la red con el comando netstat en la pgina 221 y la pgina del comando man netstat(1M). Compruebe la base de datos hosts (en Solaris 10 11/06 y versiones anteriores, la base de datos ipnodes, si utiliza IPv6) para comprobar que las entradas sean correctas y estn actualizadas. Si necesita informacin sobre la base de datos /etc/inet/hosts, consulte Base de datos hosts en la pgina 251 y la pgina de comando man hosts(4). Si necesita informacin sobre la base de datos /etc/inet/ipnodes, consulte Base de datos ipnodes en la pgina 255 y la pgina de comando man ipnodes(4). Si utiliza el protocolo RARP (Reverse Address Resolution Protocol), compruebe las direcciones Ethernet de la base de datos ethers para verificar que las entradas son correctas y estn actualizadas. Intente conectarse al host local con el comando telnet. Si necesita la sintaxis e informacin sobre telnet, consulte la pgina de comando man telnet(1). Compruebe que el daemon de red inetd se est ejecutando. # ps -ef | grep inetd El siguiente resultado verifica que el daemon inetd se est ejecutando:
root 57 1 0 Apr 04 ? 3:19 /usr/sbin/inetd -s
Si IPv6 est activado en la red, compruebe que el daemon IPv6 in.ndpd se est ejecutando:
# ps -ef | grep in.ndpd
244
Problemas comunes al utilizar IPv6
El siguiente resultado verifica que el daemon in.ndpd se est ejecutando:

root 123 1 0 Oct 27 ? 0:03 /usr/lib/inet/in.ndpd

Esta seccin describe problemas que pueden producirse al planificar y utilizar IPv6. Para ver las tareas de planificacin, consulte el Captulo 4, Planificacin de una red IPv6 (tareas).
El encaminador IPv4 no puede actualizarse a IPv6

Si su equipo no puede actualizarse, es posible que necesite comprar equipo preparado para IPv6. Compruebe la documentacin del fabricante para ver si hay procedimientos especficos del equipo que tenga que llevar a cabo para que admita IPv6. Algunos encaminadores IPv4 no pueden actualizarse para admitir IPv6. Si ste es su caso, conecte un encaminador IPv6 junto al encaminador IPv4. De este modo, puede transmitir datos desde el encaminador IPv6 al encaminador IPv4 mediante un tnel. Para obtener informacin sobre tareas relacionadas con la configuracin de tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199.
Problemas tras la actualizacin de servicios a IPv6

Puede encontrarse con las siguientes situaciones al preparar servicios para que admitan IPv6:
Algunas aplicaciones, aunque se conviertan a IPv6,no activan IPv6 de manera predeterminada. Es posible que tenga que configurar estas aplicaciones para activar IPv6. Un servidor que ejecute varios servicios, algunos slo IPv4 y otros IPv4 e IPv6, puede producir problemas. Algunos clientes pueden necesitar utilizar varios tipos de servicios, lo que puede generar confusin en el servidor.
El ISP actual no admite IPv6

Si quiere utilizar IPv6 pero su proveedor ISP no ofrece direcciones IPv6, considere las siguietnes alternativas en lugar de cambiar de proveedor:
Contrate los servicios de otro proveedor ISP para que proporcione una segunda lnea para las comunidaciones IPv6 de su empresa. Esta solucin es cara. Consiga un ISP virtual. Un ISP virtual proporciona conectividad IPv6 sin vnculo. En su lugar, se crea un tnel desde sus oficinas, a travs del ISP IPv4, al ISP virtual.
245
Captulo 9 Resolucin de problemas de red (Tareas)
Utilice un tnel 6to4 a travs de su ISP a otros sitios IPv6. Para las direcciones, utilice las direcciones IPv4 registradas del encaminador 6to4 como seccin pblica de la direccin IPv6.
Cuestiones de seguridad al transmitir datos mediante tnel a un encaminador de reenvo 6to4

Un tnel entre un encaminador 6to4 y un encaminador de reenvo 6to4 es inseguro en s mismo. Un tnel de este tipo siempre tendr los siguientes problemas de seguridad:
Aunque los encaminadores de reenvo 6to4 encapsulan y desencapsulan paquetes, no comprueban los datos que contienen los paquetes. El falseamiento de direcciones es un problema grave de los tneles a encaminadores de reenvo 6to4. Para el trfico entrante, el encaminador 6to4 no puede comparar la direccin IPv4 del encaminador de reenvo con la direccin IPv6 del origen. Por lo tanto, la direccin del host IPv6 puede falsearse fcilmente. La direccin del encaminador de reenvo 6to4 tambin puede falsearse. De manera predeterminada, no existe ningn mecanismo de confianza entre encaminadores 6to4 y encaminadores de reenvo 6to4. Por lo tanto, un encaminador 6to4 no puede identificar si el encaminador de reenvo 6to4 es de confianza, ni siquiera puede determinar si es un encaminador de reenvo 6to4 legtimo. Debe existir una relacin de confianza entre el sitio 6to4 y el destino IPv6, o ambos sitios quedan abiertos a posibles ataques.
Estos problemas y otras cuestiones de seguridad de los encaminadores de reenvo 6to4 se explican en el documento Security Considerations for 6to4. En general, slo es recomandable activar la admisin de encaminadores de reenvo 6to4 en los siguientes casos:
Pretende comunicarse con una red privada IPv6 de confianza desde su ubicacin 6to4. Por ejemplo, puede activar la admisin de encaminadores 6to4 en una red universitaria que consiste en ubicaciones 6to4 aisladas e IPv6 nativas. Su ubicacin 6to4 tiene motivos importantes de negocios para comunicarse con ciertos hosts IPv6 nativos. Ha realizado las comprobaciones y modelos de confianza sugeridos en el documento de Internet Security Considerations for 6to4.
Problemas comunes con un encaminador 6to4

Los siguientes problemas conocidos afectan a configuraciones 6to4:

4709338 Se necesita una implementacin RIPng que reconozca encaminadores estticos 4152864 Configurar dos tneles con el mismo par tsrc/tdst es posible
246
Implementacn de rutas estticas en la ubicacin 6to4 (Bug ID 4709338)

El siguiente problema se produce en ubicaciones 6to4 con encaminadores internos al encaminador de lmite de sistema 6to4. Al configurar la pseudo-interfaz 6to4, la ruta esttica 2002::/16 se aade automticamente a la tabla de rutas del encaminador 6to4. El error 4709338 describe una limitacin en el protocolo de encaminamiento RIPng de Solaris que evita que esta ruta esttica sea pblica en la ubicacin 6to4. Puede utilizar cualquiera de estas soluciones para el Error 4709338.
Aada la ruta esttica 2002::/16 a las tablas de encaminamiento de todos los encaminadores internos de la ubicacin 6to4. Utilice un protocolo de encaminamiento que no sea RIPng en el encaminador interno de la ubicacin 6to4.
Configuracin de tneles con la misma direccin de origen (Bug ID 4152864)

El error con ID 4152864 describe problemas que se producen cuando hay dos tneles configurados con la misma direccin de origen, lo que es un problema grave de los tneles 6to4.
Precaucin No configure un tnel 6to4 y un tnel automtico (atun) con la misma direccin de origen de tnel. Para obtener informacin sobre los tneles automticos y el comando atun, consulte la pgina de comando man tun(7M).
Captulo 9 Resolucin de problemas de red (Tareas)
247
248
10
C A P T U L O
1 0
Descripcin detallada de TCP/IP e IPv4 (referencia)
Este captulo proporciona informacin de referencia sobre la red TCP/IP para los archivos de configuracin de la red, incluidos los tipos, su finalidad y el formato de las entradas de archivo. Las bases de datos de red existentes tambin se describen de forma pormenorizada. Asimismo, el captulo muestra cmo se deriva la estructura de las direcciones IPv4, basndose en clasificaciones de red definidas y en los nmeros de subred. Este captulo contiene la informacin siguiente:

Archivos de configuracin TCP/IP en la pgina 249 Bases de datos de red y el archivo nsswitch.conf en la pgina 260 Protocolos de encaminamiento en el sistema operativo Solaris en la pgina 269 Clases de red en la pgina 270
Novedades de TCP/IP e IPv4

En Solaris 10 8/07, el archivo /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
Archivos de configuracin TCP/IP

Cada sistema de la red obtiene su informacin de configuracin de TCP/IP de los siguientes archivos de configuracin de TCP/IP y bases de datos de red:

Archivo /etc/hostname.interfaz Archivo /etc/nodename Archivo /etc/defaultdomain Archivo /etc/defaultrouter (opcional) Base de datos hosts En Solaris 10 11/06 y versiones anteriores, la base de datos ipnodes
249
Base de datos netmasks (opcional)
El programa de instalacin de Solaris crea estos archivos como parte del proceso de instalacin. Tambin puede editar manualmente los archivos, como se describe en esta seccin. Las bases de datos hosts y netmasks son dos de las bases de datos de red que leen los servicios de nombres disponibles en las redes de Solaris. Bases de datos de red y el archivo nsswitch.conf en la pgina 260 describe detalladamente el concepto de bases de datos de red. En Solaris 10 11/06 y versiones anteriores, para obtener informacin sobre el archivo ipnodes, consulte Base de datos ipnodes en la pgina 255.
Archivo /etc/hostname.interfaz
Este archivo define las interfaces de red fsicas del host local. En el sistema local debe haber como mnimo un archivo /etc/hostname.interfaz. El programa de instalacin de Solaris crea un archivo /etc/hostname.interfaz para la primera interfaz que se encuentra durante el proceso de instalacin. Esta interfaz normalmente tiene el nmero de dispositivo menor, por ejemplo, eri0, y se hace referencia a ella como la interfaz de red principal. Si el programa de instalacin encuentra interfaces adicionales, puede configurarlas de modo opcional, como parte del proceso de instalacin.
Nota Si crea archivos alternativos de host para la misma interfaz, tambin deben seguir el
formato de asignacin de nombres host.[0-9]*, como, por ejemplo, nombre_host.qfe0.a123. Nombres como hostname.qfe0.bak o hostname.qfe0.old no son vlidos y sern ignorados por las secuencias durante el arranque del sistema. Si agrega una interfaz de red nueva al sistema tras la instalacin, debe crear un archivo /etc/hostname.interfaz para dicha interfaz, tal como se explica en Cmo configurar una interfaz fsica tras la instalacin del sistema en la pgina 156. Asimismo, para que el software Solaris reconozca y utilice la nueva interfaz de red, debe cargar el controlador de dispositivos de la interfaz en el directorio correspondiente. Consulte la documentacin que se incluye con la nueva interfaz de red para conocer el nombre de la interfaz pertinente y las instrucciones relativas al controlador de dispositivos. El archivo /etc/hostname.interfaz bsico contiene una entrada: el nombre de host o direccin IPv4 asociados con la interfaz de red. La direccin IPv4 se puede expresar en el formato decimal con punto tradicional o en la notacin CIDR. Si utiliza un nombre de host como entrada para el archivo /etc/hostname.interfaz, dicho nombre de host tambin debe existir en el archivo /etc/inet/hosts. Por ejemplo, supongamos que smc0 es la interfaz de red principal para un sistema denominado tenere. El archivo /etc/hostname.smc0 podra tener como entrada una direccin IPv4 en notacin decimal con punto o CIDR, o el nombre de host tenere.
Nota IPv6 utiliza el archivo /etc/hostname6.interfaz para definir las interfaces de red. Para
ms informacin, consulte Archivo de configuracin de interfaces de IPv6 en la pgina 284.
Archivo /etc/nodename
Este archivo debe contener una entrada: el nombre de host del sistema local. Por ejemplo, en el sistema timbuktu, el archivo /etc/nodename incluira la entrada timbuktu.
Archivo /etc/defaultdomain
Este archivo debe contener una entrada: el nombre de dominio completo del dominio administrativo al que pertenece la red del host local. Puede proporcionar este nombre en el programa de instalacin de Solaris o editar el archivo posteriormente. Para ms informacin sobre los dominios de red, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Archivo /etc/defaultrouter
Este archivo puede contener una entrada para cada encaminador que est conectado directamente a la red. La entrada debe ser el nombre de la interfaz de red que acte como encaminador entre las redes. La presencia del archivo /etc/defaultrouter indica que el sistema est configurado para admitir el encaminamiento esttico.
Base de datos hosts

La base de datos hosts contiene las direcciones IPv4 y los nombres de host de los sistemas de la red. Si utiliza el servicio de nombres NIS o DNS, o el servicio de directorios LDAP, la base de datos hosts se guarda en una base de datos designada para la informacin del host. Por ejemplo, en una red que ejecuta NIS, la base de datos hosts se guarda en el archivo hostsbyname. Si utiliza los archivos locales para el servicio de nombres, la base de datos hosts se mantiene en el archivo /etc/inet/hosts. Este archivo contiene los nombres de host y las direcciones IPv4 de la interfaz de red principal, las dems interfaces de red conectadas al sistema y cualquier otra direccin de red que deba comprobar el sistema.
Captulo 10 Descripcin detallada de TCP/IP e IPv4 (referencia) 251
Nota Para fines de compatibilidad con los sistemas operativos basados en BSD, el archivo /etc/hosts es un enlace simblico a /etc/inet/hosts.
Formato de archivo /etc/inet/hosts

El archivo /etc/inet/hosts utiliza la sintaxis bsica que se incluye a continuacin. Consulte la pgina del comando man hosts(4) para obtener informacin completa acerca de la sintaxis. nombre_host direccin_IPv4 [apodos] [#comentario] direccin_IPv4 nombre_host Contiene la direccin IPv4 de cada interfaz que debe reconocer el host local. Contiene el nombre de host asignado al sistema durante la instalacin, adems de los nombres de host asignados a interfaces de red adicionales que debe reconocer el host local. Es un campo opcional que contiene un apodo para el host. Es un campo opcional para un comentario.
[apodo] [#comentario]
Archivo /etc/inet/hosts inicial

Al ejecutar el programa de instalacin de Solaris en un sistema, el programa configura el archivo /etc/inet/hosts inicial. Este archivo contiene las entradas mnimas que requiere el host local. Las entradas incluyen la direccin en bucle, la direccin IPv4 del host y el nombre de host. Por ejemplo, el programa de instalacin de Solaris podra crear el siguiente archivo /etc/inet/hosts para el sistema tenere que se muestra en la Figura 51:
EJEMPLO 101
Archivo /etc/inet/hosts para el sistema tenere loghost #loopback address #host name
127.0.0.1 localhost 192.168.200.3 tenere
Direccin en bucle
En el Ejemplo 101, la direccin IPv4 127.0.0.1 es la direccin en bucle. La direccin en bucle es la interfaz de red reservada que utiliza el sistema local para permitir la comunicacin entre los procesos. Esta direccin permite al host enviarse paquetes a s mismo. El comando ifconfig utiliza la direccin en bucle para la configuracin y las pruebas, tal como se explica en Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217. Cada sistema de una red TCP/IP debe utilizar la direccin IP 127.0.0.1 para el bucle IPv4 del host local.
252
Nombre de host
La direccin IPv4 192.168.200.1 y el nombre tenere son la direccin y el nombre de host del sistema local. Se asignan a la interfaz de red principal del sistema.
Mltiples interfaces de red

Algunos sistemas tienen ms de una interfaz de red, dado que son encaminadores o hosts mltiples. Cada interfaz de red conectada al sistema requiere su propia direccin IP y un nombre asociado. Durante la fase de instalacin, debe configurar la interfaz de red principal. Si un sistema concreto tiene varias interfaces en el momento de la instalacin, el programa de instalacin de Solaris le preguntar por estas interfaces adicionales. De modo opcional, puede configurar una o ms interfaces adicionales en este punto, o puede hacerlo manualmente ms adelante. Tras la instalacin de Solaris, puede configurar interfaces adicionales para un encaminador o host mltiple agregando informacin de la interfaz al archivo /etc/inet/hosts del sistema. Para ms informacin sobre cmo configurar los encaminadores y hosts mltiples, consulte Configuracin de un encaminador IPv4 en la pgina 122 y Configuracin de hosts mltiples en la pgina 131. El Ejemplo 102 muestra el archivo /etc/inet/hosts para el sistema timbuktu que se incluye en la Figura 51.
EJEMPLO 102
Archivo /etc/inet/hosts para el sistema timbuktu localhost loghost timbuktu #This is the local host name timbuktu-201 #Interface to network 192.9.201
127.0.0.1 192.168.200.70 192.168.201.10
Con estas dos interfaces, timbuktu conecta las redes 192.168.200 y 192.168.201 como encaminador.
Cmo afectan los servicios de nombres a la base de datos hosts

Los servicios de nombres NIS y DNS, as como el servicio de directorios LDAP, guardan los nombres de host y direcciones en uno o ms servidores. Estos servidores mantienen las bases de datos hosts que contienen informacin de cada host y encaminador (si es pertinente) en la red del servidor. Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener ms informacin acerca de estos servicios.
Captulo 10 Descripcin detallada de TCP/IP e IPv4 (referencia)
253
Si los archivos locales proporcionan el servicio de nombres

En una red que utiliza los archivos locales para el servicio de nombres, los sistemas que se ejecutan en modo de archivos locales consultan sus archivos /etc/inet/hosts individuales para conocer las direcciones IPv4 y los nombres de host de otros sistemas de la red. Por tanto, los archivos /etc/inet/hosts del sistema deben contener lo siguiente:

Direccin en bucle Direccin IPv4 y nombre de host del sistema local (interfaz de red principal) Direccin IPv4 y nombre de host de las interfaces de red adicionales conectadas a este sistema, si es preciso Direcciones IPv4 y nombres de host de todos los hosts de la red local Direcciones IPv4 y nombres de host de cualquier encaminador que deba conocer este sistema, si es preciso Direccin IPv4 de cualquier sistema que desee consultar el sistema por nombre de host
La Figura 101 muestra el archivo /etc/inet/hosts para el sistema tenere. Este sistema se ejecuta en modo de archivos locales. Tenga en cuenta que el archivo contiene las direcciones IPv4 y los nombres de host de cada sistema de la red 192.9.200. El archivo tambin contiene la direccin IPv4 y el nombre de interfaz timbuktu-201. Esta interfaz conecta la red 192.9.200 con la red 192.9.201. Un sistema configurado como cliente de red utiliza el archivo /etc/inet/hosts local para sus direcciones en bucle e IPv4.
254
# Desert Network - Hosts File # # If the NIS is running, this file is only consulted # when booting Lnea de localhost Lnea de nombre de host Lnea de servidor # 127.0.0.1 localhost # 192.9.200.1 192.9.200.50 # 192.9.200.2 192.9.200.3 Otros hosts 192.9.200.4 192.9.200.5 192.9.200.70 192.9.201.10 libyan ahaggar nubian faiyum timbuktu timbuktu-201 suz tim libby #This is Tom's machine #This is Bob's machine #This is Amina's machine #This is Suzanne's machine #This is Kathy's machine #Interface to net 192.9.201 on #timbuktu tenere sahara big #This is my machine #This is the net config server
FIGURA 101
Archivo /etc/inet/hosts para un sistema que se ejecuta en modo de archivos locales
Base de datos ipnodes

Nota La base de datos ipnodes ya no se incluye en las versiones posteriores a Solaris 10 11/06.
En las versiones subsiguientes, las funciones de IPv6 de ipnodes se migran a la base de datos hosts. El archivo /etc/inet/ipnodes almacena las direcciones IPv4 e IPv6. Adems, puede guardar direcciones IPv4 en las notaciones decimal con punto o CIDR. Este archivo sirve como base de datos local que asocia los nombres de hosts con sus direcciones IPv4 e IPv6. No guarde los nombres de host y sus direcciones en archivos estticos, como /etc/inet/ipnodes. En cambio, para fines de pruebas, debe guardar las direcciones IPv6 en un archivo del mismo modo que las direcciones IPv4 se guardan en /etc/inet/hosts. El archivo ipnodes utiliza la misma
convencin de formato que el archivo hosts. Para ms informacin sobre /etc/inet/hosts, consulte Base de datos hosts en la pgina 251. Consulte la pgina del comando man ipnodes(4) para ver una descripcin del archivo ipnodes. Las aplicaciones habilitadas para IPv6 utilizan la base de datos /etc/inet/ipnodes. La base de datos /etc/hosts existente, que contiene slo direcciones IPv4, permanece igual para facilitar las aplicaciones existentes. Si la base de datos ipnodes no existe, las aplicaciones habilitadas para IPv6 utilizan la base de datos hosts existente.
Nota Si necesita agregar direcciones, debe agregar las direcciones IPv4 tanto al archivo hosts como al archivo ipnodes. Las direcciones IPv6 se agregan slo al archivo ipnodes.
EJEMPLO 103
Archivo /etc/inet/ipnodes
Debe agrupar las direcciones del nombre de host por nombre de host, como se muestra en este ejemplo.
# # Internet IPv6 host table # with both IPv4 and IPv6 addresses # ::1 localhost 2001:db8:3b4c:114:a00:20ff:fe78:f37c farsite.com farsite farsite-v6 fe80::a00:20ff:fe78:f37c farsite-11.com farsitell 192.168.85.87 farsite.com farsite farsite-v4 2001:db8:86c0:32:a00:20ff:fe87:9aba nearsite.com nearsite nearsite-v6 fe80::a00:20ff:fe87:9aba nearsite-11.com nearsitell 10.0.0.177 nearsite.com nearsite nearsite-v4 loghost
Base de datos netmasks

Debe editar la base de datos netmasks como parte de la configuracin de red slo si ha configurado las subredes en la red. La base de datos netmasks se compone de una lista de redes y sus mscaras de subred asociadas.
Nota Al crear subredes, cada nueva red debe ser una red fsica independiente. No puede aplicar las subredes a una nica red fsica.
Qu son las subredes?

Las subredes son un mtodo para maximizar el espacio de direcciones IPv4 de 32 bits y reducir el tamao de las tablas de encaminamiento en una interred mayor. En cualquier clase de
direccin, las subredes proporcionan un medio de asignar parte del espacio de la direccin host a las direcciones de red, lo cual permite tener ms redes. La parte del espacio de direccin de host asignada a las nuevas direcciones de red se conoce como nmero de subred. Adems de hacer que el espacio de la direccin IPv4 sea mas eficaz, las subredes presentan varias ventajas administrativas. El encaminamiento puede complicarse enormemente a medida que aumenta el nmero de redes. Por ejemplo, una pequea organizacin podra asignar a cada red local un nmero de clase C. A medida que la organizacin va aumentando, puede complicarse la administracin de los diferentes nmeros de red. Es recomendable asignar pocos nmeros de red de clase B a cada divisin principal de una organizacin. Por ejemplo, podra asignar una red de clase B al departamento de ingeniera, otra al departamento de operaciones, etc. A continuacin, podra dividir cada red de clase B en redes adicionales, utilizando los nmeros de red adicionales obtenidos gracias a las subredes. Esta divisin tambin puede reducir la cantidad de informacin de encaminamiento que se debe comunicar entre encaminadores.
Creacin de la mscara de red para las direcciones IPv4

Como parte del proceso de subredes, debe seleccionar una mscara de red para toda la red. La mscara de red determina cuntos y qu bits del espacio de la direccin host representan el nmero de subred y cuntos y cules representan el nmero de host. Recuerde que la direccin IPv4 completa se compone de 32 bits. En funcin de la clase de direccin, puede haber como mximo 24 bits y como mnimo 8 disponibles para representar el espacio de la direccin host. La mscara de red se especifica en la base de datos netmasks. Si tiene previsto utilizar subredes, debe determinar la mscara de red antes de configurar TCP/IP. Si tiene previsto instalar el sistema operativo como parte de la configuracin de red, el programa de instalacin de Solaris solicita la mscara de red para la red. Tal como se describe en Cmo disear un esquema de direcciones IPv4 en la pgina 58, las direcciones IP de 32 bits se componen de una parte de red y una parte de host. Los 32 bits se dividen en 4 bytes. Cada byte se asigna al nmero de red o al nmero de host, segn la clase de red. Por ejemplo, en una direccin IPv4 de clase B, los 2 bytes de la izquierda se asignan al nmero de red, y los 2 de la derecha al nmero de host. En la direccin IPv4 de clase B 172.16.10, puede asignar los 2 bytes de la derecha a hosts. Si desea implementar subredes, debe utilizar algunos de los bits de los bytes asignados al nmero de host para aplicar a las direcciones de subred. Por ejemplo, un espacio de direccin host de 16 bits proporciona direcciones para 65.534 hosts. Si aplica el tercer byte a las direcciones de subred y el cuarto a las direcciones de host, puede asignar direcciones a 254 redes, con un mximo de 254 hosts en cada red.
257
Los bits de los bytes de direcciones host que se aplican a las direcciones de subredes y los que se aplican a direcciones host estn determinados por una mscara de subred. Las mscaras de subred se utilizan para seleccionar bits de cualquiera de los bytes para utilizar como direcciones de subred. Aunque los bits de mscara de red deben ser contiguos, no es necesario que estn alineados con los lmites del byte. La mscara de red puede aplicarse a una direccin IPv4 utilizando el operador lgico AND en el nivel de bits. Esta operacin selecciona las posiciones del nmero de red y el nmero de subred de la direccin. Las mscaras de red se pueden explicar en trminos de su representacin binaria. Puede utilizar una calculadora para la conversin de binario a decimal. Los ejemplos siguientes muestran los formatos binario y decimal de la mscara de red. Si se aplica una mscara de red 255.255.255.0 a la direccin IPv4 172.16.41.101, el resultado es la direccin IPv4 de 172.16.41.0. 172.16.41.101 & 255.255.255.0 = 172.16.41.0 En formato binario, la operacin es: 10000001.10010000.00101001.01100101 (direccin IPv4) y el operador AND con 11111111.11111111.11111111.00000000 (mscara de red) Ahora el sistema busca un nmero de red de 172.16.41 en lugar de 172.16. Si la red tiene el nmero 172.16.41, dicho nmero es lo que comprueba y busca el sistema. Dado que puede asignar hasta 254 valores al tercer byte del espacio de direccin IPv4, las subredes permiten crear espacio de direccin para 254 redes, mientras que anteriormente el espacio slo estaba disponible para una. Si va a proporcionar espacio de direccin slo para dos redes adicionales, puede utilizar la siguiente mscara de subred: 255.255.192.0 Esta mscara de red genera el resultado siguiente: 11111111.11111111.1100000.00000000 Este resultado deja 14 bits disponibles para las direcciones host. Dado que todos los 0 y 1 estn reservados, deben reservarse como mnimo 2 bits para el nmero host.
258
Archivo/etc/inet/netmasks
Si la red ejecuta NIS o LDAP, los servidores de estos servicios de nombres guardan las bases de datos netmasks. En el caso de las redes que utilizan archivos locales para el servicio de nombres, esta informacin se guarda en el archivo /etc/inet/netmasks.
Nota Para fines de compatibilidad con los sistemas operativos basados en BSD, el archivo /etc/netmasks es un enlace simblico a /etc/inet/netmasks.
El ejemplo siguiente muestra el archivo /etc/inet/netmasks para una red de clase B.

EJEMPLO 104
Archivo /etc/inet/netmasks para una red de clase B
# The netmasks file associates Internet Protocol (IPv4) address # masks with IPv4 network numbers. # # network-number netmask # # Both the network-number and the netmasks are specified in # decimal dot notation, e.g: # # 128.32.0.0 255.255.255.0 192.168.0.0 255.255.255.0
Si el archivo /etc/netmasks no existe, crelo con un editor de texto. Use la sintaxis siguiente:
network-number netmask-number
Consulte la pgina del comando man netmasks(4) para obtener ms informacin. Cuando cree nmeros de mscara de red, escriba el nmero de red asignado por el ISP o el registro de Internet (no el nmero de subred) y el nmero de mscara de red en /etc/inet/netmasks. Cada mscara de subred debe encontrarse en una lnea distinta. Por ejemplo:
128.78.0.0 255.255.248.0
Tambin puede escribir nombres simblicos para los nmeros de red en el archivo /etc/inet/hosts. Estos nombres de red pueden utilizarse en lugar de los nmeros de red como parmetros para los comandos.
259
Daemon de servicios de Internet inetd
Daemon de servicios de Internet inetd

El daemon inetd inicia los servicios de Internet cuando se arranca un sistema, y puede reiniciar un servicio mientras el sistema est en ejecucin. Con la Utilidad de gestin de servicios (SMF), podr modificar los servicios de Internet estndar o hacer que el daemon inetd inicie servicios adicionales. Utilice los comandos SMF siguientes para administrar los servicios iniciados por el comando inetd: svcadm svcs inetadm Para las acciones de un servicio, como activar, desactivar o reiniciar. Para ver ms detalles, consulte la pgina del comando man svcadm(1M). Para consultar el estado de un servicio. Para ver ms detalles, consulte la pgina del comando man svcs(1). Para ver y modificar las propiedades de un servicio. Si desea ms informacin, consulte la pgina del comando man inetadm(1M).
El valor de campo proto del perfil inetadm de un servicio especfico indica el protocolo de capa de transporte en el que se ejecuta el servicio. Si el servicio est habilitado slo para IPv4, el campo proto debe especificarse como tcp, udp o sctp.
Para obtener instrucciones sobre el uso de los comandos SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para ver una tarea que utilice comandos SMF para agregar un servicio que se ejecute con SCTP, consulte Cmo agregar servicios que utilicen el protocolo SCTP en la pgina 140. Para obtener informacin sobre cmo agregar servicios que manejen solicitudes IPv4 e IPv6, consulte Daemon de servicios de Internet inetd en la pgina 260.
Bases de datos de red y el archivo nsswitch.conf

Las bases de datos de red son archivos que proporcionan informacin necesaria para configurar la red. Son las siguientes:

hosts netmasks Base de datos ethers bootparams protocols services networks
260
Como parte del proceso de configuracin, puede editar las bases de datos hosts y netmasks, si la red cuenta con subredes. Se utilizan dos bases de datos de red, bootparams y ethers, para configurar los sistemas como clientes de red. El sistema operativo utiliza las bases de datos restantes, que raramente requieren edicin. Aunque el archivo nsswitch.conf no es una base de datos de red, debe configurar este archivo junto con las bases de datos de red pertinentes. El archivo nsswitch.conf especifica qu servicio de nombre utilizar para un sistema concreto: archivos locales, NIS, DNS o LDAP.
Cmo afectan los servicios de nombres a las bases de datos de red

El formato de la base de datos de red depende del tipo de servicio de nombres que seleccione para la red. Por ejemplo, la base de datos hosts contiene como mnimo el nombre de host y la direccin IPv4 del sistema local, as como cualquier interfaz de red que est conectada directamente al sistema local. Sin embargo, la base de datos hosts puede contener otras direcciones IPv4 y nombres de host, segn el tipo de servicio de nombres de la red. El uso de las bases de datos de red es el siguiente:
Las redes que utilizan archivos locales para su servicio de nombres dependen de los archivos de los directorios /etc/inet y /etc. NIS utiliza las bases de datos denominadas asignaciones NIS. DNS utiliza los registros con la informacin de host.
Nota El arranque DNS y los archivos de datos no corresponden directamente con las bases de datos de red.
La figura siguiente muestra los formatos de la base de datos hosts que utilizan estos servicios de nombres.
261
Registro de DNS
Red que utiliza archivos locales para servicios de nombres /etc/hosts en servidor de config. de net. y otros equipos en modo de archivos locales
Red que ejecuta DNS
Base de datos de hosts
Red que ejecuta NIS Asignaciones de host.byname host.byaddr en servidor NIS
Tabla de hosts de servidor NIS+
Red que ejecuta NIS+

FIGURA 102
Formatos de la base de datos hosts que utilizan los servicios de nombres
La tabla siguiente muestra las bases de datos de red y sus asignaciones NIS y archivos locales correspondientes.
Nota La base de datos ipnodes se elimina de las versiones de Solaris a partir de Solaris 10 11/06.
TABLA 101
Bases de datos de red y archivos del servicio de nombres correspondiente

Archivos locales Asignaciones NIS
Base de datos de red
hosts ipnodes netmasks ethers bootparams
/etc/inet/hosts /etc/inet/ipnodes /etc/inet/netmasks /etc/ethers /etc/bootparams
hosts.byaddr hosts.byname ipnodes.byaddr ipnodes.byname netmasks.byaddr ethers.byname ethers.byaddr bootparams
262
TABLA 101
Bases de datos de red y archivos del servicio de nombres correspondiente

Archivos locales
(Continuacin)
Base de datos de red
Asignaciones NIS
protocols services networks
/etc/inet/protocols /etc/inet/services /etc/inet/networks
protocols.byname protocols.bynumber services.byname networks.byaddr networks.byname
En este manual se describen las bases de datos de red tal como las ven las redes que utilizan archivos locales para los servicios de nombres.
Encontrar informacin sobre la base de datos hosts en Base de datos hosts en la pgina 251. Para obtener informacin sobre la base de datos netmasks, consulte Base de datos netmasks en la pgina 256. En el caso de Solaris 10 11/06 y versiones anteriores, encontrar informacin sobre la base de datos ipnodes en Base de datos ipnodes en la pgina 255.
Consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) para obtener informacin sobre las correspondencias de bases de datos de red en NIS, DNS y LDAP.
Archivo nsswitch.conf
El archivo /etc/nsswitch.conf define el orden de bsqueda de las bases de datos de red. El programa de instalacin de Solaris crea un archivo /etc/nsswitch.conf predeterminado para el sistema local, basndose en el servicio de nombres que indique durante el proceso de instalacin. Si ha seleccionado la opcin "None" que indica los archivos locales para el servicio de nombres, el archivo nsswitch.conf resultante ser similar al del ejemplo siguiente.
EJEMPLO 105
nsswitch.conf para redes utilizando archivos para el servicio de nombres
# # # # # # # #
/etc/nsswitch.files: An example file that could be copied over to /etc/nsswitch.conf; it does not use any naming service. "hosts:" and "services:" in this file are used only if the /etc/netconfig file contains "switch.so" as a nametoaddr library for "inet" transports. files files files files
263
passwd: group: hosts: networks:
EJEMPLO 105 nsswitch.conf para redes utilizando archivos para el servicio de nombres (Continuacin)
protocols: files rpc: files ethers: files netmasks: files bootparams: files publickey: files # At present there isnt a files backend for netgroup; the # system will figure it out pretty quickly, # and wont use netgroups at all. netgroup: files automount: files aliases: files services: files sendmailvars: files
La pgina del comando man nsswitch.conf(4) describe el archivo de manera pormenorizada. A continuacin se muestra la sintaxis bsica: base_datos servicio_nombres_para_buscar El campo base_datos puede incluir uno de mltiples tipos de bases de datos en las que busca el sistema operativo. Por ejemplo, el campo puede indicar una base de datos que afecta a los usuarios, como passwd o aliases , o una base de datos de red. El parmetro servicio_nombres_para_buscar puede tener los valores files, nis o nis+ para las bases de datos de redes. La base de datos hosts tambin puede tener dns como servicio de nombres para buscar. Adems, puede enumerar ms de un servicio de nombres, como nis+ y files. En el Ejemplo 105, la nica opcin de bsqueda que se indica es files. Por tanto, el sistema local obtiene informacin de seguridad y montaje automtico, adems de informacin de la base de datos de red, a partir de los archivos ubicados en los directorios /etc y /etc/inet.
Cambio de nsswitch.conf
El directorio /etc contiene el archivo nsswitch.conf que crea el programa de instalacin de Solaris. Este directorio tambin contiene archivos de plantilla para los siguientes servicios de nombres:

nsswitch.files nsswitch.nis nsswitch.nis+
Si desea cambiar de un servicio de nombres a otro, puede copiar la plantilla pertinente en nsswitch.conf. Tambin puede editar de forma selectiva el archivo nsswitch.conf y cambiar el servicio de nombres predeterminado para buscar bases de datos individuales.
Por ejemplo, en una red que ejecuta NIS, es posible que tenga que cambiar el archivo nsswitch.conf en los clientes de red. La ruta de bsqueda de las bases de datos bootparams y ethers debe enumerar files como primera opcin, y despus nis. El ejemplo siguiente muestra las rutas de bsqueda correctas.
EJEMPLO 106
nsswitch.conf para un cliente en una red en la que se ejecuta NIS
# /etc/nsswitch.conf:# . . passwd: files nis group: file nis # consult /etc hosts: networks: protocols: rpc: ethers: netmasks: bootparams: publickey: netgroup: automount: aliases: "files" only if nis is down. nis [NOTFOUND=return] files nis [NOTFOUND=return] files nis [NOTFOUND=return] files nis [NOTFOUND=return] files files [NOTFOUND=return] nis nis [NOTFOUND=return] files files [NOTFOUND=return] nis nis nis files nis files nis
# for efficient getservbyname() avoid nis services: files nis sendmailvars: files
Para ms informacin sobre el cambio de servicio de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Base de datos bootparams

La base de datos bootparams contiene informacin que utilizan los sistemas configurados para arrancarse en modo de cliente de red. Debe editar esta base de datos si la red tiene clientes de red. Consulte Configuracin de clientes de red en la pgina 108 para conocer los procedimientos. La base de datos se genera a partir de la informacin que se especifica en el archivo /etc/bootparams. La pgina del comando man bootparams(4) contiene la sintaxis completa para esta base de datos. A continuacin se muestra la sintaxis bsica: nombre_sistema nombre_servidor_claves_archivo:nombre_ruta
Para cada sistema cliente de red, la entrada puede contener la informacin siguiente: el nombre del cliente, una lista de claves, los nombres de los servidores y los nombres de la ruta. El primer elemento de cada entrada es el nombre del sistema cliente. Todos los elementos son opcionales, a excepcin del primero. A continuacin se muestra un ejemplo.
EJEMPLO 107
Base de datos bootparams
myclient root=myserver : /nfsroot/myclient \ swap=myserver : /nfsswap//myclient \ dump=myserver : /nfsdump/myclient
En este ejemplo, el trmino dump= indica a los hosts cliente que no deben buscar un archivo de volcado.
Entrada comodn de bootparams

En la mayora de los casos, la entrada comodn se utiliza durante la edicin de la base de datos bootparams para la compatibilidad con clientes. A continuacin, se incluye esta entrada:
* root=server:/path dump=:
El comodn de asterisco (*) indica que esta entrada se aplica a todos los clientes que no tengan un nombre especfico en la base de datos bootparams.
Base de datos ethers

La base de datos ethers se genera a partir de la informacin que se especifica en el archivo /etc/ethers. Esta base de datos asocia los nombres de host a sus direcciones de control de acceso de soportes (MAC). Slo debe crear una base de datos ethers si est ejecutando el daemon RARP. En otros trminos, esta base de datos debe crearse si est configurando clientes de red. RARP utiliza el archivo para asignar direcciones MAC a direcciones IP. Si est ejecutando el daemon RARP in.rarpd, debe configurar el archivo ethers y guardarlo en todos los hosts que estn ejecutando el daemon para que los cambios se reflejen en la red. La pgina del comando man ethers(4) contiene la sintaxis completa para esta base de datos. A continuacin se muestra la sintaxis bsica:
MAC-address hostname #comment
direccin_MAC nombre_host #comentario

266
Direccin MAC del host Nombre oficial del host Cualquier nota que desee anexar a una entrada del archivo
El fabricante del equipo proporciona la direccin MAC. Si un sistema no muestra la direccin MAC durante el proceso de arranque, consulte los manuales de hardware para obtener informacin al respecto. Cuando aada entradas a la base de datos ethers, asegrese de que los nombres de host correspondan a los nombres principales de la base de datos hosts y, para Solaris 10 11/06 y versiones anteriores, a los de la base de datos ipnodes, no a los apodos, tal como se indica a continuacin.
EJEMPLO 108
Entradas de la base de datos ethers fayoum nubian sahara tenere
8:0:20:1:40:16 8:0:20:1:40:15 8:0:20:1:40:7 8:0:20:1:40:14
# This is a comment
Otras bases de datos de red

Las bases de datos de red restantes raramente deben editarse.
Base de datos networks

La base de datos networks asocia los nombres de red con los nmeros de red, lo cual permite a algunas aplicaciones utilizar y visualizar los nombres en lugar de los nmeros. La base de datos networks se basa en la informacin del archivo /etc/inet/networks. Este archivo contiene los nombres de todas las redes a las que se conecta la red mediante encaminadores. El programa de instalacin de Solaris configura la base de datos networks inicial. Sin embargo, esta base de datos debe actualizarse si agrega una red nueva a la topologa de red existente. La pgina del comando man networks(4) contiene la sintaxis completa de /etc/inet/networks. A continuacin se muestra el formato bsico:
network-name network-number nickname(s) #comment
nombre_red nmero_red apodo #comentario
Nombre oficial de la red Nmero asignado por el ISP o el registro de Internet Cualquier otro nombre por el que se conozca la red Cualquier nota que desee anexar a una entrada del archivo
Debe guardar el archivo networks. El programa netstat utiliza la informacin de esta base de datos para producir tablas de estado.
267
A continuacin se incluye un archivo /etc/networks de ejemplo.

EJEMPLO 109
Archivo /etc/networks
#ident "@(#)networks 1.4 92/07/14 SMI" /* SVr4.0 1.1 */ # # The networks file associates Internet Protocol (IP) network # numbers with network names. The format of this file is: # # network-name network-number nicnames . . . # The loopback network is used only for intra-machine communication loopback 127 # # Internet networks # arpanet 10 arpa # Historical # # local networks eng 192.168.9 #engineering acc 192.168.5 #accounting prog 192.168.2 #programming
Base de datos protocols

La base de datos protocols enumera los protocolos TCP/IP que estn instalados en el sistema y sus nmeros de protocolo. El programa de instalacin de Solaris crea automticamente la base de datos. Este archivo rara vez requiere administracin. La pgina del comando man protocols(4) describe la sintaxis de esta base de datos. A continuacin se incluye un ejemplo del archivo /etc/inet/protocols.
EJEMPLO 1010
Archivo /etc/inet/protocols
# # Internet (IP) # ip 0 IP icmp 1 ICMP tcp 6 TCP udp 17 UDP
protocols # # # # internet protocol, pseudo protocol number internet control message protocol transmission control protocol user datagram protocol
268
Protocolos de encaminamiento en el sistema operativo Solaris
Base de datos services

La base de datos services enumera los nombres de los servicios TCP y UDP y sus nmeros de puerto conocidos. Los programas que llaman a los servicios de red utilizan esta base de datos. El programa de instalacin de Solaris crea automticamente la base de datos services. Normalmente, esta base de datos no requiere ninguna administracin. La pgina del comando man services(4) contiene informacin sobre la sintaxis completa. A continuacin se incluye un segmento de un archivo /etc/inet/services tpico.
EJEMPLO 1011
Archivo /etc/inet/services
# # Network # echo echo echo discard discard daytime daytime netstat ftp-data ftp telnet time time name whois
services 7/udp 7/tcp 7/sctp6 9/udp 11/tcp 13/udp 13/tcp 15/tcp 20/tcp 21/tcp 23/tcp 37/tcp 37/udp 42/udp 43/tcp
sink null
timeserver timeserver nameserver nickname
Protocolos de encaminamiento en el sistema operativo Solaris

Esta seccin describe dos protocolos de encaminamiento que admite el sistema operativo Solaris 10: Routing Information Protocol (RIP) e ICMP Router Discovery (RDISC). RIP y RDISC son protocolos TCP/IP estndar. Para ver una lista completa de los protocolos de encaminamiento disponibles para el sistema operativo Solaris 10, consulte la Tabla 51 y la Tabla 52.
269
Clases de red
Protocolo Routing Information Protocol (RIP)

RIP se implementa mediante el daemon de encaminamiento in.routed, que se inicia automticamente al arrancar el sistema. Cuando se ejecuta en un encaminador con la opcin s especificada, el comando in.routed rellena la tabla de encaminamiento del ncleo con una ruta a cada red accesible y comunica la posibilidad de acceso mediante todas las interfaces de red. Cuando se ejecuta en un host con la opcin q especificada, in.routed extrae la informacin de encaminamiento pero no comunica las posibilidades de acceso. En los hosts, la informacin de encaminamiento se puede extraer de dos modos:
No se especifica el indicador S ("S" mayscula: "Modo de ahorro de espacio"). El comando in.routed genera una tabla de encaminamiento completa, al igual que en un encaminador. Se especifica el indicador S. El comando in.routed crea una tabla de ncleo mnima, que contiene una nica ruta predeterminada para cada encaminador disponible.
Protocolo ICMP Router Discovery (RDISC)

Los hosts utilizan RDISC para obtener informacin de encaminamiento de los encaminadores. De este modo, cuando los hosts ejecutan RDISC, los encaminadores tambin deben ejecutar otro protocolo, como RIP, para poder intercambiar informacin de encaminadores. RDISC se implementa mediante el comando in.routed, que debe ejecutarse tanto en los encaminadores como en los hosts. En los hosts, in.routed utiliza RDISC para descubrir las rutas predeterminadas de los encaminadores que se dan a conocer a travs de RDISC. En los encaminadores, in.routed utiliza RDISC para dar a conocer las rutas predeterminadas a los hosts en las redes conectadas directamente. Consulte las pgina del comando man in.routed(1M) y gateways(4).
Clases de red
Nota La IANA ya no pone a disposicin los nmeros de red basados en clases, aunque hay muchas redes antiguas que siguen estando basadas en clases.
En esta seccin se describen las clases de red IPv4. Cada clase utiliza el espacio de direccin IPv4 de 32 bits de un modo distinto, y proporciona ms o menos bits para la parte de red de la direccin. Estas clases son las clases A, B y C.
270
Clases de red
Nmeros de red de clase A

Un nmero de red de clase A utiliza los 8 primeros bits de la direccin IPv4 como "parte de red". Los 24 bits restantes contienen la parte de host de la direccin IPv4, tal como muestra la figura siguiente.
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase A
FIGURA 103
Asignacin de bytes en una direccin de clase A
Los valores asignados al primer byte de los nmeros de red de clase A van del 0 al 127. Pongamos como ejemplo la direccin IPv4 75.4.10.4. El valor 75 del primer byte indica que el host se encuentra en una red de clase A. Los bytes restantes, 4.10.4, establecen la direccin del host. Slo el primer byte de un nmero de clase A se registra con la IANA. El uso de los tres bytes restantes se deja a criterio del propietario del nmero de red. Slo existen 127 redes de clase A. Cada uno de estos nmeros puede incluir un mximo de 16.777.214 de hosts.
Nmeros de red de clase B

Un nmero de red de clase B utiliza 16 bits para el nmero de red y 16 bits para los nmeros de host. El primer byte de un nmero de red de clase B va del 128 al 191. En el nmero 172.16.50.56, los dos primeros bytes, 172.16, se registran con la IANA, y componen la direccin de red. Los dos ltimos bytes, 50.56, contienen la direccin de host, y se asignan segn el criterio del propietario del nmero de red. La figura siguiente ilustra una direccin de clase B.
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase B
FIGURA 104
Asignacin de bytes en una direccin de clase B
271
Clases de red
La clase B se asigna tpicamente a las organizaciones que tienen varios hosts en sus redes.
Nmeros de red de clase C

Los nmeros de red de clase C utilizan 24 bits para el nmero de red y 8 bits para los nmeros de host. Los nmeros de red de clase C son adecuados para redes con pocos hosts, con un mximo de 254 hosts. Un nmero de red de clase C ocupa los tres primeros bytes de una direccin IPv4. Slo el cuarto byte se asigna segn el criterio de los propietarios de la red. La figura siguiente representa grficamente los bytes de una direccin de clase C.
Bits: 0 Red
7-8 Parte
15-16 Host
23-24 Parte
31
Direccin de clase C
FIGURA 105
Asignacin de bytes en una direccin de clase C
El primer byte de un nmero de red de clase C va de 192 a 223. El segundo y el tercer byte van de 1 a 255. Una direccin de clase C tpica podra ser 192.168.2.5. Los tres primeros bytes, 192.168.2, forman el nmero de red. El ltimo byte de este ejemplo, 5, es el nmero de host.
272
11
C A P T U L O

1 1
IPv6 en profundidad (referencia)
Este captulo proporciona la siguiente informacin de referencia relativa a la implementacin de IPv6 en Solaris 10. Formatos de direcciones IPv6 que no son los bsicos en la pgina 274 Formato del encabezado de los paquetes de IPv6 en la pgina 277 Protocolos de pila doble en la pgina 279 Implementacin de IPv6 en Solaris 10 en la pgina 280 Protocolo ND de IPv6 en la pgina 295 Encaminamiento de IPv6 en la pgina 302 Tneles de IPv6 en la pgina 303 Extensiones de IPv6 para servicios de nombres de Solaris en la pgina 312 Admisin de NFS y RPC IPv6 en la pgina 314 Admisin de IPv6 en ATM en la pgina 314
Para obtener una descripcin general de los conceptos relativos a IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para obtener informacin sobre tareas relativas a la configuracin de redes habilitadas para IPv6, consulte el Captulo 7, Configuracin de una red IPv6 (tareas)..
Novedades de IPv6 en profundidad

En Solaris 10 8/07, el archivo /etc/inet/ipnodes pasa a estar obsoleto. Utilice /etc/inet/ipnodes nicamente para las versiones anteriores de Solaris 10, tal como se explica en los procedimientos individuales.
273
Formatos de direcciones IPv6 que no son los bsicos

El Captulo 3, Introduccin a IPv6 (descripcin general), presenta los formatos ms comunes de direcciones IPv6: direcciones de sitios unidifusin y direcciones locales de vnculo. Esta seccin proporciona descripciones pormenorizadas de formatos de direcciones que se tratan de manera general en el Captulo 3, Introduccin a IPv6 (descripcin general):

Direcciones 6to4 derivadas en la pgina 274 Direcciones multidifusin IPv6 en profundidad en la pgina 276
Direcciones 6to4 derivadas

Si tiene previsto configurar un tnel de 6to4 desde un punto final de encaminador o host, el prefijo de sitio de 6to4 se debe anunciar en el archivo /etc/inet/ndpd.conf del sistema de puntos finales. Para obtener una introduccin e informacin sobre tareas relativas a la configuracin de tneles de 6to4, consulte Cmo configurar un tnel 6to4 en la pgina 203. La figura siguiente ilustra las partes que conforman un prefijo de sitio de 6to4.
Formato: Prefijo de 6to4 16 bits
Direccin IPv4 32 bits
Ejemplo de direccin 6to4: 2002:8192:5666::/48 Formato de ejemplo: 2002 Prefijo : 8192.5666 :: Direccin IPv4 /48 Tamao de prefijo (48 bits)
FIGURA 111
Partes de un prefijo de sitio de 6to4
La figura siguiente ilustra las distintas partes de un prefijo de subred de un sitio de 6to4, de la forma que se incluira en el archivo ndpd.conf.
274
Formato: Prefijo de 6to4 16 bits
Direccin IPv4 32 bits
Subred: host 16 bits
Ejemplo de direccin 6to4: 2002:8192.5666:1: :/64 Formato de ejemplo: 2002 Prefijo : 8192.5666 : Direccin IPv4 1 ID de subred : ID de host : /64 Tamao de anuncio (64 bits)
FIGURA 112
Partes de un prefijo de subred de 6to4
Esta tabla explica las partes que componen un prefijo de subred de 6to4.
Parte Tamao Definicin
Prefijo Direccin IPv4
16 bits 32 bits
Etiqueta 2002 de prefijo de 6to4 (0x2002). Direccin IPv4 exclusiva que ya se ha configurado en la interfaz de 6to4. En el anuncio, se especifica la representacin hexadecimal de la direccin IPv4, en lugar de la representacin decimal con punto de IPv4. ID de subred; debe ser un valor exclusivo del vnculo en el sitio de 6to4.
ID de subred
16 bits
Direcciones 6to4 derivadas en un host

Cuando un host de IPv6 recibe el prefijo de 6to4 derivado mediante un anuncio de encaminador, de forma automtica el host vuelve a configurar una direccin 6to4 derivada en una interfaz. La direccin tiene el formato siguiente:
prefix:IPv4-address:subnet-ID:interface-ID/64
La salida del comando ifconfig -a en un host con una interfaz de 6to4 tiene un aspecto similar al siguiente:
qfe1:3: flags=2180841<UP,RUNNING,MULTICAST,ADDRCONF,ROUTER,IPv6> mtu 1500 index 7 inet6 2002:8192:56bb:9258:a00:20ff:fea9:4521/64
En esta salida, la direccin 6to4 derivada sigue a inet6. En esta tabla se explican las partes que componen la direccin 6to4 derivada.
Captulo 11 IPv6 en profundidad (referencia)
275
Parte de la direccin
Tamao
Definicin
prefix direccin_IPv4
16 bits 32 bits
2002, prefijo de 6to4 8192:56bb, direccin IPv4 en notacin hexadecimal para la pseudointerfaz de 6to4 que se configura en el encaminador de 6to4 9258, direccin de la subred a la que pertenece el host a00:20ff:fea9:4521, ID de interfaz de la interfaz de host que se configura para 6to4
ID de subred ID de interfaz
16 bits 64 bits
Direcciones multidifusin IPv6 en profundidad

La direccin multidifusin IPv6 brinda un mtodo para distribuir los mismos servicios o informacin a un grupo de interfaces establecido, denominado grupo de multidifusin. En general, las interfaces del grupo de multidifusin se encuentran en distintos nodos. Una interfaz puede pertenecer a cualquier cantidad de grupos de multidifusin. Los paquetes que se envan al grupo de multidifusin van a parar a todos los miembros del grupo. Uno de los usos de las direcciones multidifusin consiste en transmitir informacin, equivalente a la capacidad de la direccin de transmisin IPv4. En la tabla siguiente se muestra el formato de la direccin multidifusin.
TABLA 111
Formato de direccin multidifusin IPv6

4 bits 4 bits 8 bits 8 bits 64 bits Prefijo de red 32 bits ID de grupo
8 bits 11111111
INDICS SCOP
Reservado Plen
A continuacin se resume el contenido de cada campo.

11111111: identifica la direccin como direccin multidifusin. FLGS: conjunto de los cuatro indicadores 0,0,P,T. Los dos primeros deben ser cero. El campo P tiene uno de los valores siguientes:

0 = Direccin multidifusin que no se asigna en funcin del prefijo de red 1 = Direccin multidifusin que se asigna en funcin del prefijo de red
Si P se establece en 1, T debe ser tambin 1.

Reservado: valor reservado de cero. Plen: cantidad de bits del prefijo de sitio que identifican la subred, para una direccin multidifusin que se asigna a partir de un prefijo de sitio. ID de grupo: identificador del grupo de multidifusin, ya sea permanente o dinmico.
276
Formato del encabezado de los paquetes de IPv6
Para obtener informacin detallada sobre el formato multidifusin, consulte RFC 3306, Unicast-Prefix-based IPv6 Multicast Addresses (ftp://ftp.rfc-editor.org/in-notes/ rfc3306.txt). Determinadas direcciones multidifusin IPv6 son asignadas permanentemente por la IANA (Internet Assigned Numbers Authority). Ejemplos son las direcciones multidifusin de todos los nodos y todos los encaminadores multidifusin que necesitan todos los hosts y encaminadores de IPv6. Las direcciones multidifusin IPv6 tambin se pueden asignar dinmicamente. Para obtener ms informacin sobre el uso adecuado de grupos y direcciones multidifusin, consulte RFC 3307, Allocation Guidelines for IPv 6 Multicast Addresses.

El protocolo IPv6 define un conjunto de encabezados, que se dividen en bsicos y de extensin. La figura siguiente ilustra los campos que tiene un encabezado de IPv6 y el orden en que aparecen.
Versin
Clase de trfico
Etiqueta de flujo Siguiente encabezado Lmite de salto
Tamao de carga til
Direccin de origen
Direccin de destino
FIGURA 113
Formato de encabezado bsico de IPv6
En la lista siguiente se describe la funcin de cada campo de encabezado.

Versin: nmero de versin de 4 bits del protocolo de Internet = 6. Clase de trfico: campo de clase de trfico de 8 bits. Etiqueta de flujo: campo de 20 bits. Tamao de carga til: entero sin signo de 16 bits, que representa el resto del paquete que sigue al encabezado de IPv6, en octetos.
277
Encabezado siguiente: selector de 8 bits. Identifica el tipo de encabezado que va inmediatamente despus del encabezado de IPv6. Emplea los mismos valores que el campo de protocolo IPv4. Lmite de salto: entero sin signo de 8 bits. Disminuye en uno cada nodo que reenva el paquete. El paquete se desecha si el lmite de salto se reduce a cero. Direccin de origen: 128 bits. Direccin del remitente inicial del paquete. Direccin de destino: 128 bits. Direccin del destinatario previsto del paquete. El destinatario previsto no es necesariamente el destinatario si existe un encabezado de encaminamiento opcional.
Encabezados de extensin de IPv6

Las opciones de IPv6 se colocan en encabezados de extensin independientes que se ubican entre el encabezado de IPv6 y el encabezado de capa de transporte de un paquete. Ningn encaminador procesa ni examina la mayora de los encabezados de extensin de IPv6 durante el recorrido de distribucin del paquete hasta que ste llega a su destino. Esta funcin supone una mejora importante en el rendimiento de los encaminadores en paquetes que contienen opciones. En IPv4, la presencia de cualquier opcin hace que el encaminador examine todas las opciones. A diferencia de las opciones de IPv4, los encabezados de extensin de IPv6 pueden tener un tamao arbitrario. Asimismo, la cantidad de opciones que lleva un paquete no se limita a 40 bytes. Aparte de la forma de procesar las opciones de IPv6, esta funcin permite que las opciones de IPv6 se apliquen a funciones que no resultan viables en IPv4. Para mejorar el rendimiento al controlar los encabezados de opciones subsiguientes, as como el protocolo de transporte que va despus, las opciones de IPv6 siempre son un mltiplo entero de 8 octetos. El mltiplo entero de 8 octetos mantiene la alineacin de los encabezados subsiguientes. Hay definidos los siguientes encabezados de extensin de IPv6:
Encaminamiento: encaminamiento extendido, por ejemplo ruta holgada fijada en origen de IPv4 Fragmentacin: fragmentacin y montaje Autenticacin: integridad y autenticacin, y seguridad Encapsulado de carga til: confidencialidad Opciones de salto a salto: opciones especiales que necesitan procesamiento salto a salto Opciones de destino: informacin opcional que el nodo de destino debe examinar
278
Protocolos de pila doble
Protocolos de pila doble

En general, el trmino pila doble se refiere a una duplicacin completa de todos los niveles de la pila de protocolos de aplicaciones en la capa de red. Un ejemplo de duplicacin completa es un sistema que ejecuta los protocolos OSI y TCP/IP. El sistema operativo Solaris es de pila doble, lo que significa que implementa los protocolos IPv4 e IPv6. Al instalar el sistema operativo, se elige entre habilitar los protocolos IPv6 en la capa de IP o utilizar nicamente los protocolos IPv4 predeterminados. El resto de la pila TCP/IP es idntica. Por lo tanto, en IPv4 e IPv6 pueden ejecutarse los mismos protocolos de transporte, TCP UDP y SCTP. Adems, se pueden ejecutar las mismas aplicaciones. La Figura 114 ilustra el funcionamiento de los protocolos IPv4 e IPv6 como pila doble en las distintas capas del conjunto de protocolos de Internet.
Aplicacin Transporte
Web, telnet TCP, UDP
Red
IPv4
IPv6
Vnculo de datos
Ethernet
FDDI
PPP
etc
FIGURA 114
Arquitectura de protocolos de pila doble
En el caso hipottico de pila doble, los subconjuntos de encaminadores y hosts se actualizan para admitir IPv6, adems de IPv4. Con este planteamiento de pila doble, los nodos actualizados siempre pueden interoperar con nodos que son slo de IPv4 mediante IPv4.
279
Implementacin de IPv6 en Solaris 10

Esta seccin describe los archivos, comandos y daemons que habilitan IPv6 en el sistema operativo Solaris.
Archivos de configuracin de IPv6

Esta seccin describe los archivos de configuracin que forman parte de una implementacin de IPv6:

Archivo de configuracin ndpd.conf en la pgina 280 Archivo de configuracin de interfaces de IPv6 en la pgina 284 Archivo de configuracin /etc/inet/ipaddrsel.conf en la pgina 285
Archivo de configuracin ndpd.conf

El archivo /etc/inet/ndpd.conf se utiliza para configurar opciones empleadas por el daemon del protocolo ND in.ndpd. En el caso de un encaminador, ndpd.conf se utiliza sobre todo para configurar el prefijo de sitio que se debe anunciar en el vnculo. En lo que respecta a un host, ndpd.conf se usa para desactivar la configuracin automtica de redes o para configurar direcciones temporales. La tabla siguiente muestra las palabras clave que se utilizan en el archivo ndpd.conf.
TABLA 112 Variable
Palabras clave de /etc/inet/ndpd.conf

Descripcin
ifdefault
Especifica el comportamiento de encaminador en todas las interfaces. Utilice la sintaxis siguiente para establecer los parmetros de encaminador y los valores correspondientes: ifdefault [valor_variable]
prefixdefault
Especifica el comportamiento predeterminado para los anuncios de prefijo. Utilice la sintaxis siguiente para establecer los parmetros de encaminador y los valores correspondientes: prefixdefault [valor_variable]
if
Establece los parmetros segn la interfaz. Use la sintaxis siguiente: if interfaz [valor_variable]
prefix
Anuncia informacin de prefijo segn la interfaz. Use la sintaxis siguiente: prefijo prefijo/tamao interfaz [valor_variable]
280
En el archivo ndpd.conf, las palabras clave de esta tabla se usan con un conjunto de variables de configuracin de encaminador. Puede encontrar una definicin detallada de estas variables en RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/ rfc2461.txt?number=2461). En la siguiente tabla aparecen las variables necesarias para configurar una interfaz, junto con breves definiciones.
TABLA 113 Variable
Variables de configuracin de interfaz de /etc/inet/ndpd.conf

Predeterminado Definicin
AdvRetransTimer
0 Dimetro actual de Internet 3 + MaxRtrAdvInterval 0
Especifica el valor del campo RetransTimer en los mensajes de anuncio que enva el encaminador. Especifica el valor que se debe colocar en el lmite de salto actual de los mensajes de anuncio que enva el encaminador. Especifica la vida til predeterminada de los anuncios de encaminador. Especifica el valor de MTU (Maximum Transmission Unit, unidad de transmisin mxima) que debe enviar el encaminador. El cero indica que el encaminador no especifica opciones de MTU. Indica el valor que se debe colocar en el indicador Manage Address Configuration del anuncio de encaminador. Indica el valor que se debe colocar en el indicador Other Stateful Configuration del anuncio de encaminador. Especifica el valor del campo ReachableTime en los mensajes de anuncio que enva el encaminador. Indica si el nodo debe enviar anuncios y responder a solicitudes de encaminador. Esta variable se debe establecer en "TRUE" en el archivo ndpd.conf para activar funciones de anuncio de encaminador. Para obtener ms informacin, consulte Cmo configurar un encaminador habilitado para IPv6 en la pgina 188. Define la cantidad de mensajes consecutivos de solicitudes de vecino que el protocolo ND debe enviar duante la deteccin de direcciones duplicadas de la direccin del nodo local. Especifica el intervalo mximo de tiempo de espera entre el envo de anuncios multidifusin no solicitados. Especifica el intervalo mnimo de espera entre el envo de anuncios multidifusin no solicitados.
AdvCurHopLimit
AdvDefaultLifetime
AdvLinkMTU
AdvManaged Flag
Falso Falso 0 Falso
AdvOtherConfigFlag
AdvReachableTime
AdvSendAdvertisements
DupAddrDetect Transmits MaxRtrAdvInterval
600 segundos 200 segundos
MinRtrAdvInterval
281
TABLA 113 Variable
Variables de configuracin de interfaz de /etc/inet/ndpd.conf

(Continuacin)
StatelessAddrConf
Verdadero
Controla si el nodo configura su direccin IPv6 mediante la configuracin automtica de direcciones sin estado. Si en el archivo ndpd.conf se declara False, la direccin se debe configurar manualmente. Para obtener ms informacin, consulte Cmo configurar un token IPv6 especificado por el usuario en la pgina 196. Indica si se debe crear una direccin temporal para todas las interfaces o para una determinada interfaz de un nodo. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193. Especifica un valor aleatorio que se debe sustraer de la variable de vida til preferente TmpPreferredLifetime al iniciarse in.ndpd. La finalidad de la variable TmpMaxDesyncFactor es impedir que todos los sistemas de la red vuelvan a generar sus direcciones temporales al mismo tiempo. TmpMaxDesyncFactor permite modificar el lmite superior de ese valor aleatorio. Establece la vida til preferente de una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193. Especifica el tiempo de demora antes de descartar una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193. Establece la vida til vlida de una direccin temporal. Para obtener ms informacin, consulte Cmo configurar una direccin temporal en la pgina 193.
TmpAddrsEnabled
Falso
TmpMaxDesyncFactor
600 segundos
TmpPreferredLifetime
Falso
TmpRegenAdvance
Falso
TmpValidLifetime
Falso
En la siguiente tabla se muestran las variables que se utilizan para configurar prefijos IPv6.
TABLA 114 Variable
Variables de configuracin de prefijo de /etc/inet/ndpd.conf

AdvAutonomousFlag
Verdadero Verdadero
Especifica el valor que se debe colocar en el campo AutonomousFlag en la opcin de informacin de prefijo. Especifica el valor que se debe colocar en el campo OnLink ("L-bit") en la opcin de informacin de prefijo. Especifica la fecha de caducidad preferente del prefijo. Especifica el valor que se debe colocar en el campo PreferredLifetime en la opcin de informacin de prefijo.
AdvOnLinkFlag
AdvPreferredExpiration AdvPreferredLifetime
No establecido 604800 segundos
282
TABLA 114 Variable
Variables de configuracin de prefijo de /etc/inet/ndpd.conf

(Continuacin)
AdvValidExpiration AdvValidLifetime
EJEMPLO 111
No establecido 2592000 segundos
Especifica la fecha de caducidad vlida del prefijo. Especifica la vida til vlida del prefijo que se configura.
Archivo /etc/inet/ndpd.conf
En el ejemplo siguiente se muestra el modo de utilizar las palabras clave y las variables de configuracin en el archivo ndpd.conf. Elimine el comentario (#) para activar la variable.
# ifdefault [variable-value ]* # prefixdefault [variable-value ]* # if ifname [variable-value ]* # prefix prefix/length ifname # # Per interface configuration variables # #DupAddrDetectTransmits #AdvSendAdvertisements #MaxRtrAdvInterval #MinRtrAdvInterval #AdvManagedFlag #AdvOtherConfigFlag #AdvLinkMTU #AdvReachableTime #AdvRetransTimer #AdvCurHopLimit #AdvDefaultLifetime # # Per Prefix: AdvPrefixList configuration variables # # #AdvValidLifetime #AdvOnLinkFlag #AdvPreferredLifetime #AdvAutonomousFlag #AdvValidExpiration #AdvPreferredExpiration ifdefault AdvReachableTime 30000 AdvRetransTimer 2000 prefixdefault AdvValidLifetime 240m AdvPreferredLifetime 120m if qe0 AdvSendAdvertisements 1 prefix 2:0:0:56::/64 qe0 prefix fec0:0:0:56::/64 qe0
283
EJEMPLO 111
Archivo /etc/inet/ndpd.conf
(Continuacin)
if qe1 AdvSendAdvertisements 1 prefix 2:0:0:55::/64 qe1 prefix fec0:0:0:56::/64 qe1 if hme1 AdvSendAdvertisements 1 prefix 2002:8192:56bb:1::/64 qfe0 if hme1 AdvSendAdvertisements 1 prefix 2002:8192:56bb:2::/64 hme1
Archivo de configuracin de interfaces de IPv6

IPv6 utiliza el archivo /etc/hostname6.interfaz al inicio para definir interfaces lgicas de IPv6 de manera automtica. Si al instalar el sistema operativo Solaris se elige la opcin de habilitar para IPv6, el programa de instalacin crea un archivo /etc/hostname6.interfaz para la interfaz de red principal, adems del archivo /etc/hostname. interfaz. Si durante la instalacin se detecta ms de una interfaz fsica, se pregunta al usuario si desea configurar dichas interfaces. El programa de instalacin crea archivos de configuracin de interfaces fsicas de IPv4 e interfaces lgicas de IPv6 para cada interfaz adicional que se especifique. Al igual que las interfaces de IPv4, las de IPv6 se pueden configurar manualmente, tras instalar Solaris. El usuario crea archivos /etc/hostname6. interfaz para las nuevas interfaces. Para obtener instrucciones sobre la configuracin manual de interfaces, consulte Administracin de interfaces en Solaris 10 3/05 en la pgina 144 o el Captulo 6, Administracin de interfaces de red (tareas). Los nombres de archivos de configuracin de interfaz de red presentan la sintaxis siguiente:
hostname.interface hostname6.interface
La variable interfaz presenta la sintaxis siguiente:

dev[.module[.module ...]]PPA
dis
Indica un dispositivo de interfaz de red. El dispositivo puede ser una interfaz fsica de red, por ejemplo eri o qfe, o una interfaz lgica, por ejemplo un tnel. Para obtener ms informacin, consulte Archivo de configuracin de interfaces de IPv6 en la pgina 284. Presenta uno o varios mdulos STREAMS para insertar en el dispositivo cuando dicho dispositivo est conectado. Indica el punto fsico de conexin.
Mdulo PFC
284
La sintaxis [.[.tambin se acepta.

EJEMPLO 112
Archivos de configuracin de interfaz de IPv6
A continuacin se presentan ejemplos de nombres vlidos de archivos de configuracin de IPv6:

hostname6.qfe0 hostname.ip.tun0 hostname.ip6.tun0 hostname6.ip6to4tun0 hostname6.ip.tun0 hostname6.ip6.tun0
Archivo de configuracin /etc/inet/ipaddrsel.conf

El archivo /etc/inet/ipaddrsel.conf contiene la tabla de directrices de seleccin de direcciones predeterminadas de IPv6. Si el sistema operativo Solaris se instala habilitado para IPv6, este archivo tiene el contenido que se muestra en la Tabla 115. El contenido de /etc/inet/ipaddrsel.conf se puede editar. Ahora bien, en la mayora de los casos no es conveniente modificarlo. Si hace falta realizar cambios, consulte el procedimiento Cmo administrar la tabla de directrices de seleccin de direcciones IPv6 en la pgina 239. Para obtener ms informacin sobre ippaddrsel.conf, consulte Motivos para modificar la tabla de directrices de seleccin de direcciones IPv6 en la pgina 286 y la pgina de comando man ipaddrsel.conf(4).
Comandos relacionados con IPv6

Esta seccin describe comandos que se agregan con la implementacin de IPv6 en el sistema operativo Solaris. Asimismo, se especifican las modificaciones realizadas en los comandos para poder admitir IPv6.
Comando ipaddrsel
El comando ipaddrsel permite modificar la tabla de directrices de seleccin de direcciones predeterminadas de IPv6. El ncleo de Solaris utiliza la tabla de directrices de seleccin de direcciones predeterminadas de IPv6 para ordenar direcciones de destino y seleccionar direcciones de origen en un encabezado de paquetes de IPv6. El archivo /etc/inet/ipaddrsel.conf contiene la tabla de directivas.
285
En la tabla siguiente se enumeran los formatos de direcciones predeterminadas y las correspondientes prioridades en la tabla de directrices. En la pgina de comando man inet6(7P) hay ms informacin referente a aspectos tcnicos sobre la seleccin de direcciones IPv6.
TABLA 115 Prefijo
Tabla de directrices de seleccin de direcciones IPv6

Prioridad Definicin
::1/128 ::/0 2002::/16 ::/96 ::ffff:0:0/96
50 40 30 20 10
Bucle inverso Predeterminado 6to4 Compatible con IPv4 IPv4
En esta tabla, los prefijos de IPv6 (::1/128 y ::/0) tienen prioridad sobre las direcciones 6to4 (2002::/16) y las direcciones IPv4 (::/96 y ::ffff:0:0/96). As pues, de forma predeterminada, el ncleo selecciona la direccin IPv6 global de la interfaz para paquetes que se dirigen a otro destino de IPv6. La direccin IPv4 de la interfaz tiene una prioridad inferior, sobre todo en cuanto a paquetes que se dirigen a un destino de IPv6. A partir de la direccin IPv6 de origen seleccionada, el ncleo tambin utiliza el formato de IPv6 para la direccin de destino.
Motivos para modificar la tabla de directrices de seleccin de direcciones IPv6

En la mayora de los casos, no se necesita cambiar la tabla de directrices de seleccin de direcciones predeterminadas de IPv6. Para administrar la tabla de directrices, se utiliza el comando ipaddrsel. La tabla de directrices podra modificarse en alguno de los supuestos siguientes:
Si el sistema tiene una interfaz que se emplea para un tnel de 6to4, puede otorgar mayor prioridad a las direcciones 6to4. Si desea utilizar una determinada direccin de origen slo para comunicarse con una determinada direccin de destino, puede agregar dichas direcciones a la tabla de directrices. A continuacin, mediante el comando ifconfig etiquete las direcciones en funcin de las preferencias. Si quiere otorgar ms prioridad a las direcciones IPv4 respecto a las de IPv6, la prioridad de ::ffff:0:0/96 puede cambiarse por un nmero superior. Si debe asignar mayor prioridad a direcciones descartadas, tales direcciones se pueden incorporar a la tabla de directrices. Por ejemplo, las direcciones locales de sitio ahora se descartan en IPv6. Estas direcciones tienen el prefijo fec0::/10. La tabla de directrices se puede modificar para conceder mayor prioridad a las direcciones locales de sitio.
286
Para obtener ms informacin sobre el comando ipaddrsel, consulte la pgina de comando man ipaddrsel(1M).
Comando 6to4relay
El establecimiento de tneles de 6to4 permite las comunicaciones entre sitios de 6to4 que estn aislados. Sin embargo, para transferir paquetes con un sitio de IPv6 nativo que no sea de 6to4, el encaminador de 6to4 debe establecer un tnel con un encaminador de rel de 6to4. As, el encaminador de rel de 6to4 reenva los paquetes de 6to4 a la red IPv6 y, en ltima instancia, al sitio de IPv6 nativo. Si el sitio habilitado para 6to4 debe intercambiar datos con sitio de IPv6 nativo, utilice el comando 6to4relay para habilitar el tnel correspondiente. Como el uso de encaminadores de rel no es seguro, en el sistema operativo Solaris de manera predeterminada se inhabilita el establecimiento de tneles con un encaminador de rel. Antes de implementar esta situacin hipottica, debe tener muy en cuenta los problemas que comporta crear un tnel con un encaminador de rel de 6to4. Para obtener ms informacin sobre encaminadores de rel de 6to4, consulte Consideraciones para tneles hasta un encaminador de reenvo 6to4 en la pgina 310. Si decide habilitar la admisin de encaminadores de rel 6to4, encontrar los procedimientos en Cmo configurar un tnel 6to4 en la pgina 203.
Sintaxis de 6to4relay
El comando 6to4relay presenta la sintaxis siguiente:
6to4relay -e [-a IPv4-address] -d -h
-e
Permite la admisin de tneles entre el encaminador de 6to4 y un encaminador de rel de 6to4 de difusin por proximidad. As, la direccin de punto final de tnel se establece en 192.88.99.1, que es la predeterminada para el grupo de difusin por proximidad de encaminadores de rel de 6to4. Permite la admisin de tneles entre el encaminador de 6to4 y un encaminador de rel de 6to4 con la direccin_IPv4 que se especifique. Anula la admisin del establecimiento de tneles con el encaminador de rel de 6to4, que es el predeterminado del sistema operativo Solaris. Muestra la ayuda del comando 6to4relay.
-a direccin_IPv4 -d -h
Para obtener ms informacin, consulte la pgina de comando man 6to4relay(1M).

EJEMPLO 113
Pantalla de estado predeterminado de admisin de encaminador de rel de 6to4
El comando 6to4relay, sin argumentos, muestra el estado actual de la admisin de encaminadores de rel de 6to4. Este ejemplo ilustra el valor predeterminado de la implementacin de IPv6 en el sistema operativo Solaris.
Captulo 11 IPv6 en profundidad (referencia) 287
EJEMPLO 113
Pantalla de estado predeterminado de admisin de encaminador de rel de 6to4 (Continuacin) # /usr/sbin/6to4relay 6to4relay:6to4 Relay Router communication support is disabled
EJEMPLO 114
Pantalla de estado con admisin habilitada de encaminadores de rel de 6to4
Si se habilita la admisin de encaminadores de rel, 6to4relay muestra la salida siguiente:

# /usr/sbin/6to4relay 6to4relay:6to4 Relay Router communication support is enabled IPv4 destination address of Relay Router=192.88.99.1
EJEMPLO 115
Pantalla de estado con un encaminador de rel de 6to4 especificado
Si se especifica la opcin -a y una direccin IPv4 en el comando 6to4relay, en lugar de -192.88.99.1 se muestra la direccin IPv4 que se proporciona con a. 6to4relay no indica la ejecucin correcta de las opciones de -direccin_IPv4 -d, -e y a. Ahora bien, 6to4relay muestra cualquier mensaje de error que se pudiera generar durante la ejecucin de dichas opciones.
Extensiones del comando ifconfig para admisin de IPv6

El comando ifconfig habilita las interfaces de IPv6 y el mdulo de establecimiento de tneles que se debe conectar. ifconfig utiliza un conjunto de comandos ioctls ampliado para configurar las interfaces de red IPv4 e IPv6. A continuacin se describen las opciones de ifconfig que admiten operaciones de IPv6. Consulte Supervisin de la configuracin de interfaz con el comando ifconfig en la pgina 217 para obtener una serie de tareas de IPv4 e IPv6 que afectan a ifconfig. index tsrc/tdst addif removeif destination set subnet xmit/-xmit Establece el ndice de interfaces. Establece el origen o destino de tneles. Crea la siguiente interfaz lgica disponible. Elimina una interfaz lgica con una determinada direccin IP. Establece la direccin de destino punto a punto para una interfaz. Establece una direccin, mscara de red o ambas cosas para una interfaz. Establece la direccin de subred de una interfaz. Habilita o inhabilita la transmisin de paquetes en una interfaz.
288
En el Captulo 7, Configuracin de una red IPv6 (tareas)., encontrar procedimientos de configuracin de IPv6.
EJEMPLO 116
Adicin de una interfaz de IPv6 lgica con la opcin -addif del comando ifconfig
La forma siguiente del comando ifconfig crea la interfaz lgica hme0:3:

# ifconfig hme0 inet6 addif up Created new logical interface hme0:3
Esta forma del comando ifconfig verifica la creacin de la interfaz:

# ifconfig hme0:3 inet6 hme0:3: flags=2000841<UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 inet6 inet6 fe80::203:baff:fe11:b321/10
EJEMPLO 117
Eliminacin de una interfaz de IPv6 lgica con la opcin -removeif del comando ifconfig
La forma siguiente del comando ifconfig elimina la interfaz lgica hme0:3:

# ifconfig hme0:3 inet6 down # ifconfig hme0 inet6 removeif 1234::5678
EJEMPLO 118
Uso del comando ifconfig para configurar un origen de tneles de IPv6
# ifconfig ip.tun0 inet6 plumb index 13
Abre el tnel que se debe asociar con el nombre de la interfaz fsica.

# ifconfig ip.tun0 inet6 ip.tun0: flags=2200850<POINTOPOINT,RUNNING,MULTICAST,NONUD, #IPv6> mtu 1480 index 13 inet tunnel src 0.0.0.0 inet6 fe80::/10 --> ::
Configura los correspondientes flujos de TCP/IP para utilizar el dispositivo de tneles e informar sobre el estado del dispositivo.
# ifconfig ip.tun0 inet6 tsrc 120.46.86.158 tdst 120.46.86.122
Configura la direccin de origen y de destino del tnel.

# ifconfig ip.tun0 inet6 ip.tun0: flags=2200850<POINTOPOINT,RUNNING,MULTICAST,NONUD, IPv6> mtu 1480 index 13
289
EJEMPLO 118
Uso del comando ifconfig para configurar un origen de tneles de IPv6 (Continuacin) inet tunnel src 120.46.86.158 tunnel dst 120.46.86.122 inet6 fe80::8192:569e/10 --> fe80::8192:567a
Informa sobre el nuevo estado del dispositivo tras la configuracin.

EJEMPLO 119
Configuracin de un tnel de 6to4 mediante ifconfig (forma completa)
En este ejemplo de configuracin de pseudointerfaz de 6to4 se utiliza el ID de subred de 1 y se especifica el ID de host, en forma hexadecimal.
# ifconfig ip.6to4tun0 inet6 plumb # ifconfig ip.6to4tun0 inet tsrc 129.146.86.187 \ 2002:8192:56bb:1::8192:56bb/64 up # ifconfig ip.6to4tun0 inet6 ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 129.146.86.187 tunnel hop limit 60 inet6 2002:8192:56bb:1::8192:56bb/64
EJEMPLO 1110
Configuracin de un tnel de 6to4 mediante ifconfig (forma abreviada)
En este ejemplo se muestra la forma abreviada para la configuracin de un tnel de 6to4.

# ifconfig ip.6to4tun0 inet6 plumb # ifconfig ip.6to4tun0 inet tsrc 129.146.86.187 up # ifconfig ip.6to4tun0 inet6 ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 129.146.86.187 tunnel hop limit 60 inet6 2002:8192:56bb::1/64
Modificaciones del comando netstat para admitir IPv6

El comando netstat muestra el estado de redes IPv4 e IPv6. Puede elegir la informacin de protocolo que se visualizar; para ello, establezca el valor de DEFAULT_IP en el archivo /etc/default/inet_type o recurra a la opcin de lnea de comandos -f. Si se aplica un valor permanente de DEFAULT_IP, se garantiza que netstat muestre nicamente informacin relativa a IPv4. Este valor puede anularse mediante la opcin -f. Para obtener ms informacin sobre el archivo inet_type, consulte la pgina de comando man inet_type(4).
290
La opcin -p del comando netstat muestra la tabla de red a soporte, que es la tabla ARP para IPv4 y la cach interna para IPv6. Consulte la pgina de comando man netstat(1M) para obtener ms informacin. Consulte Cmo visualizar el estado de los sockets en la pgina 225 para obtener descripciones de procedimientos que utilizan este comando.
Modificaciones del comando snoop para admitir IPv6

El comando snoop puede capturar paquetes de IPv4 e IPv6. Este comando puede mostrar encabezados de IPv6, encabezados de extensiones de IPv6, encabezados de ICMPv6 y datos de protocolo ND. De manera predeterminada, el comando snoop muestra paquetes de IPv4 e IPv6. Si especifica la palabra clave de protocolo ip o ip6, el comando snoop muestra slo paquetes de IPv4 o IPv6, respectivamente. La opcin para filtrar IPv6 permite filtrar en todos los paquetes, tanto de IPv4 como IPv6, y mostrar nicamente los paquetes de IPv6. Consulte la pgina de comando man snoop(1M) para obtener ms informacin. Consulte Cmo supervisar trfico de redes IPv6 en la pgina 238 para obtener informacin sobre procedimientos que utilizan el comando snoop.
Modificaciones del comando route para admitir IPv6

El comando route funciona en rutas IPv4 e IPv6; el valor predeterminado son las rutas IPv4. Si la opcin -inet6 de la lnea de comandos se utiliza inmediatamente despus del comando route, las operaciones se llevan a cabo en rutas IPv6. Consulte la pgina de comando man route(1M) para obtener ms informacin.
Modificaciones del comando ping para admitir IPv6

El comando ping utiliza protocolos IPv4 e IPv6 para sondear hosts de destino. La seleccin de protocolo depende de las direcciones que devuelve el servidor de nombres en relacin con el host de destino especfico. De forma predeterminada, si el servidor de nombres devuelve una direccin IPv6 para el host de destino, el comando ping utiliza el protocolo IPv6. Si el servidor devuelve slo una direccin IPv4, el comando ping emplea el protocolo IPv4. Si desea anular esta accin, utilice la opcin de lnea de comandos -A para indicar el protocolo que debe usarse. Para obtener ms informacin, consulte la pgina de comando man ping(1M) Para obtener informacin sobre procedimientos que utilicen el comando ping , consulte Sondeo de hosts remotos con el comando ping en la pgina 228.
Modificaciones del comando traceroute para admitir IPv6

El comando traceroute efecta el seguimiento de las rutas IPv4 e IPv6 de un determinado host. En una perspectiva de protocolos, traceroute utiliza el mismo algoritmo que ping. Si desea anular esta seleccin, utilice la opcin de lnea de comandos -A. Puede efectuar el seguimiento de cada ruta en cada direccin de un host con varias direcciones permanentes mediante la opcin de lnea de comandos -a.
291
Para obtener ms informacin, consulte la pgina de comando man traceroute(1M) Para obtener informacin sobre procedimientos que usan el comando traceroute, consulte Visualizacin de informacin de encaminamiento con el comando traceroute en la pgina 233.
Daemons relacionados con IPv6

Esta seccin trata sobre los daemons relacionados con IPv6.
Daemon in.ndpd, para el protocolo ND

El daemon in.ndpd implementa el protocolo ND de IPv6 y el descubrimiento de encaminadores. Asimismo, implementa la configuracin automtica de direcciones para IPv6. A continuacin se muestran las opciones admitidas de in.ndpd. -d -D -f -I -n -r -v -t Activa la depuracin. Activa la depuracin para determinados eventos. Especifica un archivo cuyos datos de configuracin deban leerse, en lugar del archivo predeterminado /etc/inet/ndpd.conf. Imprime informacin relativa a cada interfaz. No efecta bucles de retorno de anuncios de encaminador. Hace caso omiso de paquetes recibidos. Especifica el modo detallado; informa de varios tipos de mensajes de diagnstico. Activa el seguimiento de paquetes.
El daemon in.ndpd lo controlan parmetros que se establecen en el archivo de configuracin /etc/inet/ndpd.conf y los pertinentes parmetros del archivo de inicio de /var/inet/ndpd_state. interfaz. Si existe el archivo /etc/inet/ndpd.conf, se analiza y utiliza para configurar un nodo como encaminador. En la Tabla 112 figuran las palabras clave vlidas que podran aparecer en este archivo. Si se arranca un host, podra suceder que los encaminadores no estuvieran disponibles de manera inmediata. Los paquetes anunciados por el encaminador podran perderse. Asimismo, los paquetes anunciados quiz no se comuniquen con el host. El archivo /var/inet/ndpd_state.interfaz es un archivo de estado. Cada nodo lo actualiza peridicamente. Si el nodo se falla y se reinicia, el nodo puede configurar sus interfaces si no hay encaminadores. Este archivo contiene las direcciones de interfaz, la ltima vez que se modific el archivo y el tiempo que este archivo ser vlido. Asimismo, el archivo contiene otros parmetros que se "aprenden" a partir de anteriores anuncios de encaminador.
292
Nota No es necesario modificar el contenido de archivos de estado. El daemon in.ndpd mantiene los archivos de estado de forma automtica.
Consulte las pginas de comando man in.ndpd(1M) y ndpd.conf(4) para obtener listas de variables de configuracin y valores permitidos.
Daemon in.ripngd, para encaminamiento de IPv6

El daemon in.ripngd implementa el protocolo RIPng (Routing Information Protocol) para encaminadores IPv6. RIPng define el equivalente de IPv6 de RIP. Si se configura un encaminador de IPv6 con el comando routeadm y se activa el encaminamiento de IPv6, el daemon in.ripngd implementa el protocolo RIPng en el encaminador. A continuacin se muestran las opciones admitidas del protocolo RIPng. -p n -q -s -P -S n especifica el nmero de puerto alternativo que se usa para enviar o recibir paquetes de RIPnG. Suprime informacin de encaminamiento. Fuerza la informacin de encaminamiento aun en caso de que el daemon funcione como encaminador. Suprime el uso de valores negativos. Si in.ripngd no funciona como encaminador, el daemon especifica slo un encaminador predeterminado para cada encaminador.
Daemon inetd y servicios de IPv6

Una aplicacin de servidores habilitada para IPv6 puede asumir solicitudes de IPv4 e IPv6, o nicamente de IPv6. El servidor controla siempre las solicitudes mediante un socket de IPv6. Adems, el servidor emplea el mismo protocolo que el del cliente correspondiente. Si desea agregar o modificar un servicio de IPv6, emplee los comandos disponibles en la Utilidad de gestion de servicios (SMF).
Para obtener informacin sobre los comandos de SMF, consulte SMF Command-Line Administrative Utilities de System Administration Guide: Basic Administration. Para ver una tarea de ejemplo que utilice SMF en la configuracin de un manifiesto de servicio de IPv4 que se ejecute en SCTP, consulte Cmo agregar servicios que utilicen el protocolo SCTP en la pgina 140.
Si desea configurar un servicio de IPv6, asegrese de que el valor del campo proto del perfil inetadm relativo a ese servicio presente el valor correspondiente:
293
Si necesita un servicio que controle solicitudes de IPv4 e IPv6, elija tcp6, udp6 o sctp. Un valor de proto de tcp6, udp6 o sctp6 hace que inetd pase en un socket de IPv6 al servidor. El servidor contiene una direccin asignada a IPv4 en caso de que un cliente IPv4 tenga una solicitud. Si necesita un servicio que nicamente controle solicitudes de IPv6, elija tcp6only o udp6only. Si se asigna cualquiera de estos valores a proto, inetd pasa el servidor a un socket de IPv6.
Si reemplaza un comando de Solaris por otra implementacin, compruebe que la implementacin de ese servicio admita IPv6. Si la implementacin no admite IPv6, el valor de proto debe especificarse como tcp, udp o sctp. A continuacin se muestra un perfil generado tras la ejecucin de inetadm para un manifiesto de servicio echo que admite IPv4 e IPv6, y se ejecuta mediante SCTP:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp6" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE
Si desea cambiar el valor del campo proto, aplique la sintaxis siguiente:

# inetadm -m FMRI proto="transport-protocols"
Todos los servidores que se proporcionan con el software Solaris necesitan slo una entrada de perfil que especifique proto como tcp6, udp6 o sctp6. No obstante, el servidor de shell remoto (shell) y el servidor de ejecucin remoto (exec) se componen en la actualidad de una sola instancia de servicio, que necesita un valor de proto que contenga los valores de tcp y tcp6only. Por ejemplo, para establecer el valor de proto para shell, debe ejecutarse el comando siguiente:
294
Protocolo ND de IPv6
# inetadm -m network/shell:default proto="tcp,tcp6only"
Para obtener ms informacin sobre la escritura en servidores habilitados para IPv6 que utilizan sockets, consulte las extensiones de IPv6 de Socket API en la Programming Interfaces Guide.
Puntos que tener en cuenta al configurar un servicio para IPv6

Al agregar o modificar un servicio para IPv6, tenga en cuenta lo siguiente:
El valor de proto debe establecerse en tcp6, sctp6 o udp6 para permitir conexiones IPv4 o IPv6. Si el valor deproto se establece en tcp, sctp o udp, el servicio utiliza slo IPv4. Si bien puede agregar una instancia de servicio que utilice sockets SCTP de uno a varios estilos para inetd, no es recomendable. inetd no funciona con sockets SCTP de uno a varios estilos. Si un servicio necesita dos entradas debido a diferencias en las propiedades de wait-status o exec, debe crear dos instancias o servicios a partir del servicio original.
IPv6 introduce el protocolo ND (Neighbor Discovery), tal como se describe en RFC 2461, Neighbor Discovery for IP Version 6 (IPv6) (http://www.ietf.org/rfc/ rfc2461.txt?number=2461). Para obtener una descripcin general de las caractersticas de este protocolo, consulte Descripcin general del protocolo ND de IPv6 en la pgina 83. Esta seccin trata sobre las caractersticas siguientes del protocolo ND:

Mensajes de ICMP del protocolo ND en la pgina 295 Proceso de configuracin automtica en la pgina 296 Solicitud e inasequibilidad de vecinos en la pgina 298 Algoritmo de deteccin de direcciones duplicadas en la pgina 298 Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4 en la pgina 300
Mensajes de ICMP del protocolo ND

El protocolo ND define cinco mensajes nuevos de ICMP (Internet Control Message Protocol). Dichos mensajes tienen los objetivos siguientes:
Solicitud de encaminador: al habilitarse una interfaz, los hosts pueden enviar mensajes de solicitud de encaminador. Se solicita a los encaminadores que generen inmediatamente anuncios de encaminador, en lugar de hacerlo la prxima vez que se hubiera programado.
295
Anuncio de encaminador: los encaminadores anuncian su presencia, as como varios parmetros de vnculos y de Internet. Los encaminadores anuncian de manera peridica o como respuesta a un mensaje de solicitud de encaminador. Los anuncios de encaminador contienen prefijos que se usan para la determinacin de onlinks o configuracin de direcciones, un valor de lmite de salto propuesto, etctera. Solicitud de vecino: los nodos envan mensajes de solicitud de vecino para determinar la direccin de capa de vnculo de un vecino. Los mensajes de solicitud de vecino tambin sirven para verificar que se pueda contactar con un vecino mediante una direccin de capa de vnculo almacenada en cach. Asimismo, las solicitudes de vecino se usan para detectar direcciones duplicadas. Anuncio de vecino: un nodo enva mensajes de anuncio de vecino como respuesta a un mensaje de solicitud de vecino. El nodo tambin puede enviar anuncios de vecino no solicitados para anunciar un cambio de direccin de capa de vnculo. Redireccin: los encaminadores emplean mensajes de redireccin para indicar a los hosts el mejor primer salto para acceder a un destino, o para indicar que el destino est en el mismo vnculo.
Proceso de configuracin automtica

Esta seccin proporciona una descripcin general de los pasos habituales que realizan las interfaces durante la configuracin automtica. La configuracin automtica se efecta slo en vnculos que permiten multidifusin. 1. Una interfaz que permite multidifusin se habilita, por ejemplo, al iniciar el sistema de un nodo. 2. El nodo empieza el proceso de configuracin automtica generando una direccin local de vnculo para la interfaz. La direccin local de vnculo se forma a partir de la direccin MAC de la interfaz. 3. El nodo enva un mensaje de solicitud de vecino que contiene la direccin local de vnculo provisional como destino. La finalidad del mensaje es verificar que otro nodo del vnculo no est utilizando ya la direccin de prueba. Tras verificarla, la direccin local de vnculo puede asignarse a una interfaz. a. Si la direccin propuesta ya la usa otro nodo, dicho nodo genera un anuncio de vecino para informar de ello. b. Si otro nodo intenta utilizar la misma direccin, dicho nodo tambin enva una solicitud de vecino para el destino. La cantidad de transmisiones y retransmisiones de solicitudes de vecino, as como el retraso entre solicitudes consecutivas, dependen de cada vnculo. Si es preciso, establezca estos parmetros.
4. Si un nodo determina que la direccin local de vnculo de prueba no es exclusiva, se detiene el proceso de configuracin automtica. De ser as, la direccin local de vnculo de la interfaz se debe configurar manualmente. Para simplificar la recuperacin, puede especificar otro ID de interfaz que anule el predeterminado. De este modo, el mecanismo de configuracin automtica puede reanudar su funcionamiento con el nuevo ID de interfaz, que en principio es exclusivo. 5. Si un nodo determina que la direccin local de vnculo de prueba es exclusiva, el nodo la asigna a la interfaz. En ese momento, el nodo dispone de conectividad IP con nodos vecinos. Los dems pasos de la configuracin automtica los efectan solamente hosts.
Obtencin de un anuncio de encaminador

La fase siguiente de la configuracin automtica consiste en obtener un anuncio de encaminador o determinar que no hay encaminadores. Si hay encaminadores, stos envan anuncios de encaminador para indicar la clase de configuracin automtica que debe ejecutar un host. Los encaminadores envan peridicamente solicitudes de encaminador. No obstante, el retraso entre los sucesivos anuncios suele ser superior a lo que puede esperar un host que efecta la configuracin automtica. Para obtener rpidamente un anuncio, el host enva una o varias solicitudes de encaminador al grupo multidifusin de todos los encaminadores.
Variables en la configuracin de prefijos

Los anuncios de encaminador pueden contener tambin variables de prefijo con informacin que la configuracin automtica de direcciones emplea en la generacin de prefijos. El campo de configuracin automtica de direcciones sin estado de los anuncios de encaminador se procesa de manera independiente. El indicador de configuracin de direcciones, un campo de opcin que contiene informacin de prefijo, indica si la opcin se aplica tambin a la configuracin automtica sin estado. Si se aplica el campo de opcin, otros campos de opciones contienen un prefijo de subred con valores continuamente vigentes. Estos valores indican la duracin que tendrn la validez y preferencia de las direcciones creadas a partir del prefijo. Debido a que los encaminadores generan peridicamente anuncios de encaminador, los hosts reciben anuncios nuevos de manera constante. Los hosts habilitados para IPv6 procesan la informacin que hay en cada anuncio. Los hosts se agregan a la informacin. Tambin ponen al da la informacin recibida en anuncios anteriores.
Exclusividad de las direcciones

Por motivos de seguridad, antes de asignarse a la interfaz debe verificarse que todas las direcciones sean exclusivas. Es distinto en el caso de direcciones creadas con configuracin
297
automtica sin estado. La exclusividad de una direccin la determina la parte de la direccin formada por un ID de interfaz. Por eso, si un nodo ya ha comprobado la exclusividad de una direccin local de vnculo, no hace falta verificar las direcciones adicionales una a una. Las direcciones deben crearse a partir del mismo ID de interfaz. Por su parte, debe comprobarse la exclusividad de todas las direcciones que se obtengan manualmente. Los administradores de sistemas de algunos sitios consideran que el esfuerzo y los recursos dedicados a detectar direcciones duplicadas son mayores que sus ventajas. En estos sitios, la deteccin de direcciones duplicadas se puede inhabilitar estableciendo un indicador de configuracin segn la interfaz. Para acelerar el proceso de configuracin automtica, un host puede generar su propia direccin local de vnculo y verificar su exclusividad, mientras el host espera un anuncio de encaminador. Un encaminador podra retrasar durante unos segundos la respuesta a una solicitud de encaminador. Por lo tanto, el tiempo total que se necesita para completar la configuracin automtica puede ser considerablemente superior si los dos pasos se realizan en serie.
Solicitud e inasequibilidad de vecinos

El protocolo ND utiliza mensajes de solicitud de vecino para determinar si la misma direccin unidifusin tiene asignado ms de un nodo. La deteccin de inasequibilidad de vecinos descubre el error de un vecino o de la ruta de reenvo del vecino. Esta clase de deteccin precisa la confirmacin positiva de que los paquetes que se envan a un vecino lleguen realmente a su destino. Asimismo, la deteccin de inasequibilidad de vecinos determina que la capa IP del nodo procese correctamente los paquetes. La deteccin de inasequibilidad de vecinos utiliza la confirmacin a partir de dos puntos de referencia: los protocolos de capa superior y los mensajes de solicitud de vecino. Si es posible, los protocolos de capa superior brindan la confirmacin positiva de que una conexin avanza en el reenvo. Por ejemplo, si se reciben reconocimientos de TCP, se confirma la correcta entrega de los datos enviados con anterioridad. Si un nodo no obtiene una confirmacin positiva de los protocolos de capa superior, dicho nodo enva mensajes de solicitud de vecino unidifusin. Estos mensajes solicitan anuncios de vecino como confirmacin de asequibilidad a partir del prximo salto. Para reducir el trfico redundante en la red, los mensajes sonda se envan slo a los vecinos a los que el nodo est enviando paquetes.
Algoritmo de deteccin de direcciones duplicadas

Para asegurarse de que todas las direcciones configuradas puedan ser exclusivas en un determinado vnculo, los nodos ejecutan en las direcciones un algoritmo de deteccin de
298
direcciones duplicadas. Los nodos deben ejecutar el algoritmo antes de asignar las direcciones a una interfaz. El algoritmo de deteccin de direcciones duplicadas se ejecuta en todas las direcciones. El proceso de configuracin automtica que se describe en esta seccin deteccin de direcciones duplicadas slo es vlido para hosts, no para encaminadores. Debido a que la configuracin automtica de hosts emplea informacin anunciada por encaminadores, stos se deben configurar por otros medios. Sin embargo, los encaminadores generan direcciones locales de vnculo mediante el mecanismo que se explica en este captulo. Adems, en principio los encaminadores deben superar correctamente el algoritmo de deteccin de direcciones duplicadas en todas las direcciones antes de asignar la direccin a una interfaz.
Anuncios de proxy
Un encaminador que acepta paquetes de parte de una direccin de destino puede ejecutar anuncios que no se anulan. El encaminador puede aceptar paquetes de parte de una direccin de destino que sea incapaz de responder a solicitudes de destino. En la actualidad no se especifica el uso de proxy. Ahora bien, el anuncio de proxy se puede utilizar para ocuparse de casos como nodos mviles que se han desplazado fuera del vnculo. El uso de proxy no se ha concebido como mecanismo general para controlador nodos que no implementen este protocolo.
Equilibrio de la carga entrante

Los nodos con interfaces duplicadas quiz deban equilibrar la carga de la recepcin de paquetes entrantes en las distintas interfaces de red del mismo vnculo. Estos nodos disponen de varias direcciones locales de vnculo asignadas a la misma interfaz. Por ejemplo, un solo controlador de red puede representar a varias tarjetas de interfaz de red como una nica interfaz lgica que dispone de varias direcciones locales de vnculo. El equilibrio de carga se controla permitiendo que los encaminadores omitan la direccin local de vnculo de origen de los paquetes de anuncio de encaminador. Por consiguiente, los vecinos deben emplear mensajes de solicitud de vecino para aprender las direcciones locales de vnculo de los encaminadores. Los mensajes de anuncio de vecino devueltos pueden contener direcciones locales de vnculo diferentes, en funcin del que haya emitido la solicitud.
Cambio de direccin local de vnculo

Un nodo que sepa que se ha modificado su direccin local de vnculo puede enviar paquetes de anuncios de vecinos multidifusin no solicitados. El nodo puede enviar paquetes multidifusin a todos los nodos para actualizar las direcciones locales de vnculo almacenadas en cach que ya
no sean vlidas. El envo de anuncios no solicitados es una simple mejora del rendimiento. El algoritmo de deteccin de inasequibilidad de vecinos se asegura de que todos los nodos descubran la nueva direccin de manera fiable, aunque ello comporte un retraso algo mayor.
Comparacin del protocolo ND con ARP y protocolos relacionados con IPv4

El funcionamiento del protocolo ND de IPv6 equivale a combinar los siguientes protocolos de IPv4: ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol, Router Discovery e ICMP Redirect. IPv4 carece de un protocolo general establecido y de un mecanismo para detectar la inasequibilidad de vecinos. Sin embargo, los requisitos de host especifican determinados algoritmos para la deteccin de portales inactivos. La deteccin de portales inactivos es un subconjunto de los problemas que soluciona la deteccin de inasequibilidad de vecinos. En la lista siguiente se comparan el protocolo ND con el conjunto correspondiente de protocolos de IPv4.
El descubrimiento de encaminador forma parte del conjunto bsico de protocolos de IPv6. Los hosts de IPv6 no necesitan aplicar el comando snoop a los protocolos de encaminamiento para buscar un encaminador. IPv4 utiliza ARP, descubrimiento de encaminadores ICMP y redireccin de ICMP para el descubrimiento de encaminador. Los anuncios de encaminador de IPv6 llevan direcciones locales de vnculo. Para resolver la direccin local de vnculo no hace falta un intercambio adicional de paquetes. Los anuncios de encaminador llevan los prefijos de sitio para un vnculo. No hace falta un mecanismo aparte para configurar la mscara de red, como sucede con IPv4. Los anuncios de encaminador permiten la configuracin automtica de direcciones. En IPv4 no se implementa la configuracin automtica. El protocolo ND permite que los encaminadores de IPv6 anuncien una MTU (Maximum Transmission Unit, unidad de transmisin mxima) para hosts para utilizarse en el vnculo. Por lo tanto, todos los nodos emplean el mismo valor de MTU en los vnculos que carecen de una MTU bien definida. Podra ser que los hosts de IPv4 de una misma red tuvieran distintas MTU. A diferencia de las direcciones de emisin IPv4, las multidifusiones de resolucin de direcciones IPv6 se distribuyen en cuatro mil millones (2^32) de direcciones multidifusin, lo cual reduce significativamente las interrupciones por resolucin de direcciones en nodos que no sean el de destino. Adems, no es recomendable interrumpir sistemas que no sean IPv6. Las redirecciones de IPv6 contienen la direccin local de vnculo del primer salto nuevo. Al recibir una redireccin no hace falta una resolucin de direcciones aparte.
300
Una misma red IPv6 puede tener asociados varios prefijos de sitio. De forma predeterminada, los hosts aprenden todos los prefijos de sitio locales a partir de anuncios de encaminador. Sin embargo, es posible configurar los encaminadores para que omitan todos o algunos prefijos de anuncios de encaminador. En esos casos, los hosts dan por sentado que los destinos se encuentran en redes remotas. Por lo tanto, los hosts envan el trfico a encaminadores. As pues, un encaminador puede ejecutar redirecciones si es preciso. A diferencia de IPv4, el destinatario de un mensaje de redireccin de IPv6 da por sentado que el prximo salto nuevo se da en la red local. En IPv4, un host hace caso omiso de los mensajes de redireccin que especifiquen un prximo salto que no se ubique en la red local, conforme a la mscara de red. El mecanismo de redireccin de IPv6 es anlogo a la funcin XRedirect de IPv4. El mecanismo de redireccin es til en vnculos de soportes compartidos y de no emisin. En esta clase de redes, los nodos no deben comprobar todos los prefijos de destinos de vnculo local. La deteccin de inasequibilidad de vecinos de IPv6 mejora la distribucin de paquetes si hay encaminadores que funcionan mal. Esta capacidad mejora la distribucin de paquetes en vnculos con particiones o que funcionan parcialmente mal. Asimismo, mejora la distribucin de paquetes en nodos que modifican sus direcciones locales de vnculo. Por ejemplo, los nodos mviles pueden salir de la red local sin perder ninguna clase de conectividad debido a memorias cach de ARP que hayan quedado obsoletas. IPv4 carece de mtodo equivalente para la deteccin de inasequibilidad de vecinos. A diferencia de ARP, el protocolo ND detecta errores parciales en vnculos mediante la deteccin de inasequibilidad de vecinos. El protocolo ND evita el envo de trfico a vecinos si no existe conectividad bidireccional. Las direcciones locales de vnculo permiten la identificacin exclusiva de encaminadores y los hosts de IPv6 mantienen las asociaciones de encaminador. La capacidad de identificar encaminadores es necesaria en anuncios de encaminador y mensajes de redireccin. Los hosts deben mantener asociaciones de encaminador si el sitio emplea prefijos globales nuevos. IPv4 carece de un mtodo equiparable para la identificacin de encaminadores. Debido a que los mensajes de protocolo ND tienen un lmite de salto de 255 en la recepcin, dicho protocolo es inmune a ataques de spoofing provenientes de nodos que no estn en el vnculo. Por el contrario, los nodos que no estn en vnculos de IPv4 pueden enviar mensajes de redireccin de ICMP. Asimismo, los nodos que no estn en vnculos de IPv4 pueden enviar mensajes de anuncio de encaminador. La colocacin de resolucin de direcciones en la capa de ICMP hace que el protocolo ND sea ms independiente en cuanto a soportes que ARP. por consiguiente, se pueden utilizar la autenticacin IP y los mecanismos de seguridad estndar.
301
Encaminamiento de IPv6
Encaminamiento de IPv6
El encaminamiento de IPv6 es casi idntico al de IPv4 en la direccin de encaminamiento entre dominios sin clase (CIDR). La nica diferencia estriba en que las direcciones son IPv6 de 128 bits, en lugar de IPv4 de 32 bits. Con extensiones sumamente sencillas, todos los algoritmos de encaminamiento de IPv4, por ejemplo OSPF, RIP, IDRP e IS-IS, son vlidos para encaminar IPv6. Asimismo, IPv6 incluye extensiones sencillas de encaminamiento que admiten nuevas y potentes posibilidades de encaminamiento. A continuacin se describen las nuevas funciones de encaminamiento:

La seleccin del proveedor se basa en las directrices, el rendimiento, los costes, etctera Movilidad de los hosts, encaminamiento a la ubicacin actual Redireccionamiento automtico, encaminamiento a la direccin nueva
Para acceder a las nuevas funciones de encaminamiento, debe crear secuencias de direcciones IPv6 que utilicen la opcin de encaminamiento de IPv6. Un origen de IPv6 utiliza la opcin de encaminamiento para obtener uno o varios nodos intermedios, o un grupo topolgico, que debe visitarse en direccin al destino del paquete. Es una funcin muy parecida a las opciones de ruta de registro y ruta holgada fija en origen de IPv4. Para que las secuencias de direcciones sean una funcin general, los hosts de IPv6 deben, en la mayora de los casos, invertir las rutas de un paquete que reciba un host. El paquete se debe autenticar correctamente mediante el encabezado de autenticacin de IPv6. El paquete debe contener secuencias de direcciones para devolver el paquete al emisor. Esta tcnica obliga a que las implementaciones de hosts de IPv6 admitan el control y la inversin de las rutas de origen. El control y la inversin de las rutas de origen es la clave que permite a los proveedores trabajar con los hosts que implementan las nuevas funciones de IPv6 como la seleccin de proveedor y las direcciones extendidas.
Anuncio de encaminador
En vnculos con capacidad multidifusin y punto a punto, cada encaminador enva, de forma peridica, al grupo multidifusin un paquete de anuncios de encaminador que informa de su disponibilidad. Un host recibe anuncios de encaminador de todos los encaminadores, y confecciona una lista de encaminadores predeterminados. Los encaminadores generan anuncios de encaminador con la suficiente frecuencia para que los hosts aprendan su presencia en pocos minutos. Sin embargo, los encaminadores no anuncian con suficiente frecuencia como para que una falta de anuncios permita detectar un error de encaminador. La deteccin de errores es factible mediante un algoritmo de deteccin independiente que determina la inasequibilidad de vecinos.
302
Tneles de IPv6
Prefijos de anuncio de encaminador

Los anuncios de encaminador contienen una lista de prefijos de subred que se usan para determinar si un host se encuentra en el mismo vnculo que el encaminador. La lista de prefijos tambin se utiliza en la configuracin de direcciones autnomas. Los indicadores que se asocian con los prefijos especifican el uso concreto de un determinado prefijo. Los hosts utilizan los prefijos del vnculo anunciados para configurar y mantener una lista que se emplea para decidir si el destino de un paquete se encuentra en el vnculo o fuera de un encaminador. Un destino puede encontrarse en un vnculo aunque dicho destino no aparezca en ningn prefijo del vnculo que est anunciado. En esos casos, un encaminador puede enviar una redireccin. La redireccin indica al remitente que el destino es un vecino. Los anuncios de encaminador, y los indicadores de prefijo, permiten a los encaminadores informar a los hosts sobre cmo efectuar la configuracin automtica de direcciones sin estado.
Mensajes de anuncio de encaminador

Los mensajes de anuncio de encaminador contienen tambin parmetros de Internet, por ejemplo el lmite de salto que los hosts deben emplear en los paquetes salientes. Tambin es posible que los mensajes de anuncio de encaminador contengan parmetros de vnculo, por ejemplo la MTU de vnculo. Esta funcin permite la administracin centralizada de los parmetros importantes. Los parmetros se pueden establecer en encaminadores y propagarse automticamente a todos los hosts que estn conectados. Los nodos llevan a cabo la resolucin de direcciones enviando al grupo de multidifusin una solicitud de vecino que pide al nodo de destino que devuelva su direccin de capa de vnculo. Los mensajes de solicitud de vecino multidifusin se envan a la direccin multidifusin de nodo solicitado de la direccin de destino. El destino devuelve su direccin de capa de vnculo en un mensaje de anuncio de vecino unidifusin. Para que el iniciador y el destino resuelvan sus respectivas direcciones de capa de vnculo basta con un solo par de paquetes de solicitud-respuesta. El iniciador incluye su direccin de capa de vnculo en la solicitud de vecino.
Tneles de IPv6
Para minimizar las dependencias en una sitio de IPv4/IPv6 de doble pila, todos los encaminadores de la ruta entre dos nodos IPv6 no necesitan ser compatibles con IPv6. El mecanismo que admite esta clase de configuracin en red se denomina colocacin en tneles. Bsicamente, los paquetes de IPv6 se colocan en paquetes de IPv4, que luego se encaminan a travs de encaminadores de IPv4. La figura siguiente ilustra el mecanismo de colocacin en tneles mediante encaminadores de IPv4, cosa que en la figura se seala mediante una R.
303
Tneles de IPv6
IPv6 De A a B Datos Host A IPv6
IPv6 De A a B Datos Host B IPv6
R1 v4/v6
R2 v4/v6
IPv4 De R1 a R2 De A a B Datos R R R Algo de nube IPv4
FIGURA 115
Mecanismo de colocacin en tneles de IPv6
La implementacin de IPv6 en Solaris incluye dos clases de mecanismos de colocacin en tneles:

Tneles configurados entre dos encaminadores, como en la Figura 115 Tneles automticos que terminan en los hosts de punto final
Un tnel configurado se utiliza actualmente en Internet para otras finalidades, por ejemplo en MBONE, el ncleo multidifusin de IPv4. Desde un punto de vista operativo, el tnel se compone de dos encaminadores que se configuran para tener un vnculo punto a punto virtual entre los dos encaminadores en la red IPv4. Es probable que esta clase de tnel se utilice en Internet en un futuro previsible. Los tneles automticos necesitan direcciones compatibles con IPv4. Los tneles automticos se pueden utilizar para conectar con IPv6 cuando no estn disponibles los encaminadores de IPv6. Estos tneles se pueden originar en un host de pila doble o un encaminador de pila doble configurando una interfaz de red de colocacin automtica en tneles. Los tneles siempre terminan en el host de pila doble. Estos tneles funcionan determinando dinmicamente la direccin IPv4 de destino, que es el punto final del tnel, extrayendo la direccin de la direccin de destino compatible con IPv4.
304
Tneles de IPv6
Tneles configurados
Las interfaces colocadas en tneles tienen el siguiente formato:
ip.tun ppa
ppa es el punto fsico de conexin. Al iniciar el sistema, se conecta remotamente con el mdulo de colocacin en tneles (tun) mediante el comando ifconfig, en la parte superior de IP para crear una interfaz virtual. La conexin remota se lleva a cabo creando el correspondiente archivo hostname6.*. Por ejemplo, para crear un tnel con el fin de encapsular paquetes de IPv6 en una red IPv4, IPv6 sobre IPv4, debe crear el siguiente nombre de archivo:
/etc/hostname6.ip.tun0
El contenido de este archivo se pasa a ifconfig tras la conexin de las interfaces. El contenido se convierte en los parmetros que se necesitan para configurar un tnel de extremo a extremo.
EJEMPLO 1111
Archivo hostname6.ip.tun0 para un tnel IPv6 sobre IPv4
A continuacin se muestra un ejemplo de entradas para el archivo hostname6.ip.tun0:

tsrc 10.10.10.23 tdst 172.16.7.19 up addif 2001:db8:3b4c:1:5678:5678::2 up
En este ejemplo, las direcciones IPv4 de origen y destino se usan como tokens para configurar automticamente direcciones IPv6 locales de vnculo. Estas direcciones son el origen y destino de la interfaz ip.tun0. Se configuran dos interfaces. Se configura la interfaz ip.tun0. Tambin se configura una interfaz lgica ip.tun0:1. La interfaz lgica tiene las direcciones IPv6 de origen y destino especificadas mediante el comando addif. El contenido de estos archivos de configuracin se pasa al comando ifconfig sin modificarse cuando el sistema se inicia en modo multiusuario. Las entradas del Ejemplo 1111 equivalen a lo siguiente:
# ifconfig ip.tun0 inet6 plumb # ifconfig ip.tun0 inet6 tsrc 10.0.0.23 tdst 172.16.7.19 up # ifconfig ip.tun0 inet6 addif 2001:db8:3b4c:1:5678:5678::2 up
A continuacin se muestra la salida del comando ifconfig -a para este tnel.

ip.tun0: flags=2200850<UP,POINTOPOINT,RUNNING,MULTICAST, NONUD,IPv6> mtu 1480 index 6 inet tunnel src 10.0.0.23 tunnel dst 172.16.7.19
305
Tneles de IPv6
inet6 fe80::c0a8:6417/10 --> fe80::c0a8:713 ip.tun0:1: flags=2200850<UP,POINTOPOINT,RUNNING,MULTICAST,NONUD,IPv6> mtu 1480 index 5 inet6 2001:db8:3b4c:1:5678:5678::2
Para configurar ms interfaces lgicas, agregue lneas al archivo de configuracin. Para ello, utilice la siguiente sintaxis:
addif IPv6-source IPv6-destination up
Nota Si cualquiera de los extremos del tnel es un encaminador de IPv6 que anuncia uno o varios prefjos a travs del tnel, los comandos addif no se necesitan en los archivos de configuracin de tneles. Es posible que slo hagan falta tsrc y tdst debido a que todas las dems direcciones se configuran automticamente.
En algunas circunstancias, determinadas direcciones locales de vnculo de origen y destino se deben configurar manualmente para un tnel en concreto. Para incluir estas direcciones locales de vnculo, cambie la primera lnea del archivo de configuracin. La lnea siguiente es a modo de ejemplo:
tsrc 10.0.0.23 tdst 172.16.7.19 fe80::1/10 fe80::2 up
Tenga en cuenta que la longitud del prefijo de la direccin local de vnculo de origen es de 10. En este ejemplo, la interfaz ip.tun0 tiene un aspecto parecido al siguiente:
ip.tun0: flags=2200850<UP,POINTOPOINT,RUNNING,MULTICAST,NONUD,IPv6> mtu 1480 index 6 inet tunnel src 10.0.0.23 tunnel dst 172.16.7.19 inet6 fe80::1/10 --> fe80::2
Para crear un tnel con el fin de encapsular paquetes de IPv6 en una red IPv6, IPv6 sobre IPv6, debe crear el siguiente nombre de archivo:
/etc/hostname6.ip6.tun0
EJEMPLO 1112
Archivo hostname6.ip6.tun0 para un tnel IPv6 sobre IPv6
A continuacin se muestra un ejemplo de entradas del archivo hostname6.ip6.tun0 para encapsulado de IPv6 en una red IPv6:
tsrc 2001:db8:3b4c:114:a00:20ff:fe72:668c tdst 2001:db8:15fa:25:a00:20ff:fe9b:a1c3 fe80::4 fe80::61 up
306
Tneles de IPv6
/etc/hostname.ip6.tun0
EJEMPLO 1113
Archivo hostname.ip6.tun0 para un tnel IPv4 sobre IPv6
A continuacin se muestra un ejemplo de entradas del archivo hostname6.ip6.tun0 para encapsulado de IPv4 en una red IPv6:
tsrc 2001:db8:3b4c:114:a00:20ff:fe72:668c tdst 2001:db8:15fa:25:a00:20ff:fe9b:a1c3 10.0.0.4 10.0.0.61 up
/etc/hostname.ip.tun0
EJEMPLO 1114
Archivo hostname.ip.tun0 para un tnel IPv4 sobre IPv64
A continuacin se muestra un ejemplo de entradas del archivo hostname.ip.tun0 para encapsulado de IPv4 en una red IPv4:
tsrc 172.16.86.158 tdst 192.168.86.122 10.0.0.4 10.0.0.61 up
Para obtener informacin especfica sobre tun, consulte la pgina del comando man tun(7M). Para obtener una descripcin general de los conceptos referentes a la colocacin de tneles durante la transicin a IPv6, consulte Descripcin general sobre los tneles de IPv6 en la pgina 85. Para obtener una descripcin sobre los procedimientos que seden realizar para configurar tneles, consulte Tareas de configuracin de tneles para compatibilidad con IPv6 (mapa de tareas) en la pgina 199.
Tneles automticos 6to4

El sistema operativo Solaris incluye tneles 6to4 como mtodo provisional preferido para realizar la transicin de direcciones IPv4 a IPv6. Los tneles 6to4 permiten que ubicaciones IPv6 aisladas se comuniquen mediante un tnel automtico a travs de una red IPv4 que no admite IPv6. Para utilizar tneles 6to4 debe configurar un encaminador de lmite de sistema en la red IPv6 como un punto final del tnel automtico 6to4. Despus, el encaminador 6to4 puede participar en un tnel hasta otra ubicacin 6to4, o, si es necesario, hasta un ubicacin IPv6 nativa, no 6to4.
Tneles de IPv6
Esta seccin proporciona material de referencia sobre los siguientes temas 6to4:

Configuracin de un tnel 6to4 Direcciones 6to4, incluido el formato del anuncio Descripcin del flujo de paquetes a travs de un tnel 6to4 Configuracin de un tnel entre un encaminador 6to4 y un encaminador de reenvo 6to4 Puntos que considerar antes de configurar la compatibilidad con encaminador de reenvo 6to4
Puede encontrar ms informacin sobre encaminamiento 6to4 en las siguientes fuentes.

Tarea o detalle Para obtener informacin
Tareas para configurar un tnel 6to4 RCF relacionado con 6to4 Informacin detallada sobre el comando 6to4relay, que permite utilizar tneles hasta un encaminador de reenvo 6to4 Cuestiones de seguridad de 6to4
Cmo configurar un tnel 6to4 en la pgina 203 RFC 3056, "Connection of IPv6 Domains via IPv4 Clouds" (http://www.ietf.org/rfc/rfc3056.txt) 6to4relay(1M)
Security Considerations for 6to4 (http://www.ietf.org/rfc/ rfc3964.txt)
Configuracin de un tnel 6to4

Un tnel 6to4 proporciona conectividad IPv6 a todas las ubicaciones 6to4 en cualquier parte. Asimismo, el tnel ejerce como vnculo con todas las ubicaciones IPv6, incluida Internet IPv6 nativa, siempre que el encaminador se configure para reenviar a un encaminador de repeticin. La figura siguiente ilustra la forma en que un tnel 6to4 proporciona esta clase de conectividad entre sitios 6to4.
308
Tneles de IPv6
Direccin IPv4
qfe0 Encaminador A de 6to4 hme0 hme1
Tnel de 6to4
Encaminador B de 6to4
Sitio B de 6to4
Subred 1
Subred 2
Sitio A de 6to4
FIGURA 116
Tnel entre dos ubicaciones 6to4
La figura muestra dos redes 6to4 independientes, Site A y Site B. Cada ubicacin tiene configurado un encaminador con una conexin externa a una red IPv4. Un tnel 6to4 en la red IPv4 proporciona una conexin para vincular ubicaciones 6to4. Antes de que una ubicacin IPv6 pueda convertirse en 6to4, debe configurar al menos una interfaz de encaminador para que admite 6to4. Esta interfaz debe proporcionar la conexin externa a la red IPv4. La direccin configurada en qfe0 debe ser nica globalmente. En esta figura, la interfaz qfe0 del encaminador de lmite de sistema Router A conecta la ubicacin Site A con la red IPv4. La interfaz qfe0 ya debe estar configurada con una direccin IPv4 antes de que sea posible configurar qfe0 como una pseudointerfaz 6to4. En la figura, la ubicacin 6to4 Site A est compuesta de dos subredes, que estn conectadas a las interfaces hme0 y hme1 del encaminador Router A. Todos los hosts IPv6 de ambas subredes de la ubicacin Site A se reconfiguran automticamente con direcciones derivadas 6to4 al recibir el anuncio del encaminador Router A. La ubicacin Site B es otra ubicacin 6to4 aislada. Para recibir correctamente trfico de la ubicacin Site A, se debe configurar un encaminador de lmite en la ubicacin Site B para admitir 6to4. De no ser as, los paquetes que reciba el encaminador de Site A no se reconocen y se descartan.
Flujo de paquetes a travs del tnel 6to4

Esta seccin describe el flujo de paquetes entre un hosts en una ubicacin 6to4 y un host en una ubicacin 6to4 remota. Esta situacin hipottica utiliza la topologa de la Figura 116. En el ejemplo se considera que los encaminadores y hosts 6to4 ya estn configurados.
Tneles de IPv6
1. Un host en la subred 1 (Subnet 1) de la ubicacin 6to4 Site A enva una transmisin, con un host de la ubicacin 6to4 Site B como destino. El encabezado de cada paquete tiene una direccin de origen derivada de 6to4 y una direccin de destino derivada de 6to4. 2. En encaminador de la ubicacin Site A encapsula cada paquete 6to4 dentro de un encabezado IPv4. En este proceso, el encaminador establece la direccin IPv4 de destino del encabezado de encapsulado en la direccin de encaminador de la ubicacin Site B. En cada paquete de IPv6 que pasa por la interfaz de tnel, la direccin de destino de IPv6 tambin contiene la direccin de destino de IPv4. De este modo, el encaminador puede determinar la direccin IPv4 de destino que se establece en el encabezado de encapsulado. Despus, el encaminador utiliza procedimientos estndar IPv4 para reenviar los paquetes a travs de la red IPv4. 3. Cualquier encaminador IPv4 que encuentren los paquetes en su camino utilizar la direccin de destino IPv4 del paquete para reenviarlo. Esta direccin es la direccin IPv4 globalmente nica de la interfaz del encaminador Router B, que tambin funciona como pseudo-interfaz 6to4. 4. Los paquetes de Site A llegan al encaminador Router B, que desencapsula los paquetes IPv6 del encabezado IPv4. 5. A continuacin, Router B utiliza la direccin de destino del paquete IPv6 para reenviar los paquetes al receptor en Site B.
Consideraciones para tneles hasta un encaminador de reenvo 6to4

Los encaminadores de reenvo 6to4 funcionan como puntos finales para tneles desde encaminadores 6to4 que necesitan comunicarse con redes IPv6 nativas, no 6to4. Los encaminadores de reenvo son bsicamente puentes entre la ubicacin 6to4 y ubicaciones IPv6 nativas. Debido a que esta solucin puede llegar a ser muy insegura en s misma, el sistema operativo Solaris no tiene la admisin de encaminadores 6to4 activada. No obstante, si es necesario establecer un tnel de este tipo en su ubicacin, puede utilizar el comando 6to4relay para activar la situacin hipottica siguiente de creacin de tneles.
310
Tneles de IPv6
Direccin IPv4
Encaminador A de 6to4
Tnel de 6to4
Encaminador de rels de 6to4 192.88.99.1
Sitio A: 6to4 Red IPv6
Sitio de encaminador B de 6to4 Sitio B: IPv6 nativo

FIGURA 117
Tnel desde una ubicacin 6to4 hasta un encaminador de reenvo 6to4
En la Figura 117, la ubicacin 6to4 Site A necesita comunicarse con un nodo en la ubicacin IPv6 nativa Site B. La figura muestra la ruta de trfico desde Site A hasta un tnel 6to4 a travs de una red IPv4. Los puntos finales del tnel son el encaminador 6to4 Router A y un encaminador de reenvo 6to4. Ms all del encaminador de reenvo 6to4 se encuentra la red IPv6, a la que est conectada la ubicacin IPv6 Site B.
Flujo de paquetes entre una ubicacin 6to4 y una ubicacin IPv6 nativa
En esta seccin se describe el flujo de paquetes desde una ubicacin 6to4 hasta una ubicacin IPv6 nativa. Esta situacin hipottica utiliza la topologa de la Figura 117. 1. Un host en la ubicacin 6to4 Site A enva una transmisin que especifica como destino un host en la ubicacin IPv6 nativa Site B. El encabezado de cada paquete tiene una direccin derivada 6to4 como direccin de destino. La direccin de destino es una direccin IPv6 estndar. 2. El encaminador 6to4 de la ubicacin Site A encapsula cada paquete dentro de un encabezado IPv4, que tiene la direccin IPv4 del encaminador de reenvo 6to4 como destino. El encaminador 6to4 utiliza procedimientos IPv4 estndar para reenviar el paquete
Extensiones de IPv6 para servicios de nombres de Solaris
a travs de la red IPv4. Cualquier encaminador IPv4 que encuentren los paquetes en su camino los reenviar al encaminador de reenvo 6to4. 3. El encaminador de reenvo 6to4 de difusin por proximidad ms cercano fsicamente a la ubicacin Site A recibe los paquetes destinados al grupo de difusin por proximidad 192.88.99.1.
Nota Los encaminadores de reenvo 6to4 que forman parte del grupo de difusin por proximidad de encaminador de reenvo 6to4 tienen la direccin IP 192.88.99.1. Esta direccin de difusin por proximidad es la direccin predeterminada de encaminadores de reenvo 6to4. Si necesita utilizar un encaminador de reenvo 6to4 especfico, puede anular la direccin predeterminada y especificar la direccin IPv4 del encaminador.
4. El encaminador de reenvo desencapsula el encabezado IPv4 de los paquetes 6to4 y, de este modo, revela la direccin de destino IPv6 nativa. 5. A continuacin, el encaminador de reenvo enva los paquetes, que ahora son slo IPv6, a la red IPv6, donde los recibe un encaminador de la ubicacin Site B. El encaminador reenva los paquetes al nodo IPv6 de destino.

En esta seccin se describen los cambios de denominacin incorporados con la implementacin de IPv6. Puede almacenar direcciones IPv6 en cualquiera de los servicios de nombres de Solaris, NIS, LDAP, DNS y archivos. Tambin puede utilizar NIS en transportes IPv6 RPC para recuperar datos de NIS.
Extensiones de DNS para IPv6

El registro de recursos AAAA, propio de IPv6, se ha especificado en la RFC 1886 DNS Extensions to Support IP Version 6. Este registro AAAA asigna un nombre de host en una direccin IPv6 de 128 bits. El registro PTR se sigue usando en IPv6 para asignar direcciones IP en nombres de host. Las cuatro porciones de 32 bits de las direcciones de 128 bits se invierten para una direccin IPv6. Cada porcin se convierte a su correspondiente valor ASCII hexadecimal. A continuacin, se agrega ip6.int.
Cambios en el archivo nsswitch.conf

En Solaris 10 11/06 y versiones anteriores, aparte de poder buscar direcciones IPv6 mediante /etc/inet/ipnodes, se ha incorporado la admisin de IPv6 a los nombres de servicios DNS, NIS y LDAP. En consecuencia, se ha modificado el archivo nsswitch.conf para poder realizar bsquedas de IPv6.
hosts: files dns nisplus [NOTFOUND=return] ipnodes: files dns nisplus [NOTFOUND=return]
Nota Antes de cambiar el archivo /etc/nsswitch.conf para buscar ipnodes en varios
servicios de nombres, debe rellenar estas bases de datos de ipnodes con direcciones IPv4 e IPv6. De lo contrario, pueden darse retrasos innecesarios en la resolucin de direcciones de host, incluso en el momento del arranque. El diagrama siguiente ilustra la relacin nueva entre el archivo nsswitch.conf y las nuevas bases de datos de servicios de nombres para aplicaciones que utilizan los comandos gethostbyname y getipnodebyname. Los trminos en cursiva son nuevos. El comando gethostbyname comprueba nicamente las direcciones IPv4 almacenadas en /etc/inet/hosts. En Solaris 10 11/06 y versiones anteriores, el comando getipnodebyname consulta la base de datos que se indica en la entrada ipnodes del archivo nsswitch.conf. Si falla la bsqueda, el comando comprueba la base de datos que se indica en la entrada hosts del archivo nsswitch.conf.
Aplicacin gethostbyname()/getipnodebyname() nscd hosts ipnodes nsswitch.conf hosts: files nisplus dns ipnodes: files nisplus dns NIS hosts.byname ipnodes.byname hosts.org_dir ipnodes.byname
FIGURA 118
NIS+
FILES
DNS Registros A Registros AAAA /etc/hosts /etc/ipnodes
Relacin entre nsswitch.conf y los servicios de nombres
Para obtener ms informacin acerca de los servicios de nombres, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
313
Admisin de NFS y RPC IPv6
Cambios en los comandos de servicio de nombres

Para admitir IPv6, busque direcciones IPv6 con los comandos del servicio de nombres vigente. Por ejemplo, el comando ypmatch funciona con las nuevas asignaciones NIS. El comando nslookup busca los nuevos registros AAAA en DNS.
Admisin de NFS y RPC IPv6

NFS y Remote Procedure Call (RPC) son programas totalmente compatibles con IPv6. No han cambiado los comandos ya existentes relacionados con los servicios de NFS. Adems, la mayora de las aplicaciones RPC tambin funcionan con IPv6 sin cambios. Es posible que haya que actualizar algunas aplicaciones RPC avanzadas con reconocimiento de transporte.
Admisin de IPv6 en ATM

El sistema operativo Solaris admite IPv6 en ATM, PVC (Permanent Virtual Circuits, circuitos virtuales permanentes) y SVC (Static Switched Virtual Circuits, circuitos virtuales conmutados estticos).
314
P A R T E
I I I
DHCP
Esta parte contiene informacin conceptual acerca del Protocolo de configuracin de host dinmico (DHCP) y tareas para planificar, configurar, administrar y resolver problemas del servicio DHCP de Solaris.
315
316
12
C A P T U L O
1 2
Solaris DHCP (descripcin general)
En este captulo se introduce el Protocolo de configuracin dinmica de host (DHCP), y se describen los conceptos relativos a dicho protocolo. Adems, se relatan las ventajas del uso de DHCP en una red. Este captulo contiene la informacin siguiente:

Acerca del protocolo DHCP en la pgina 317 Ventajas del uso de Solaris DHCP en la pgina 318 Funcionamiento de DHCP en la pgina 319 Servidor Solaris DHCP en la pgina 322 Cliente de Solaris DHCP en la pgina 331
Acerca del protocolo DHCP

El protocolo DHCP permite configurar automticamente los sistemas host de una red TCP/IP durante el arranque de los sistemas. DHCP utiliza un mecanismo de cliente-servidor. Los servidores almacenan y gestionan la informacin de configuracin de los clientes y la suministran cuando stos la solicitan. Esta informacin incluye la direccin IP del cliente y los servicios de red de los que el cliente puede disponer. DHCP ha evolucionado de un protocolo anterior, BOOTP, que se diseo para arrancar en una red TCP/IP. DHCP utiliza el mismo formato que BOOTP para los mensajes entre el cliente y el servidor. No obstante, a diferencia de los mensajes BOOTP, los mensajes DHCP pueden incluir datos de configuracin de red para el cliente. Una de las ventajas de DHCP es la posibilidad de gestionar la asignacin de direcciones IP mediante permisos. Los permisos permiten reclamar las direcciones IP cuando no estn en uso. Las direcciones IP reclamadas se pueden reasignar a otros clientes. Un sitio que utilice DHCP puede utilizar una agrupacin de direcciones IP menor que la que se necesitara si todos los clientes tuvieran asignada una direccin IP permanente.
317
Ventajas del uso de Solaris DHCP
Ventajas del uso de Solaris DHCP

Gracias a DHCP no tendr que dedicar gran parte de su tiempo a configurar una red TCP/IP ni a la administracin diaria de dicha red. Solaris DHCP slo funciona con IPv4. Solaris DHCP ofrece las ventajas siguientes:
Administracin de direcciones IP: una de las principales ventajas de DHCP es que facilita la administracin de las direcciones IP. En una red sin DHCP, debe asignar manualmente las direcciones IP. Debe asignar una direccin IP exclusiva a cada cliente y configurar cada uno de los clientes de modo individual. Si un cliente se pasa a una red distinta, debe realizar modificaciones manuales para dicho cliente. Si DHCP est activo, el servidor DHCP administra y asigna las direcciones IP sin necesidad de que intervenga el administrador. Los clientes pueden moverse a otras subredes sin necesidad de reconfiguracin manual, ya que obtienen del servidor DHCP la nueva informacin de cliente necesaria para la nueva red. Configuracin de cliente de red centralizada: Puede crear una configuracin a medida para determinados clientes o para determinados tipos de clientes. La informacin de configuracin se almacena en un lugar, el almacn de datos de DHCP. No es necesario iniciar sesin en un cliente para cambiar su configuracin. Puede realizar modificaciones en mltiples clientes cambiando la informacin del almacn de datos. Compatibilidad con clientes BOOTP: Tanto los servidores BOOTP como los servidores DHCP escuchan y responden las emisiones de los clientes. El servidor DHCP puede responder a las solicitudes de clientes BOOTP y de clientes DHCP. Los clientes BOOTP reciben una direccin IP y la informacin que necesitan para arrancar desde un servidor. Compatibilidad con clientes locales y remotos: BOOTP permite reenviar mensajes de una red a otra. DHCP aprovecha la funcin de reenvo de BOOTP de distintos modos. La mayora de los encaminadores de red se pueden configurar como agentes de reenvo de BOOTP para transferir solicitudes BOOTP a servidores que no se encuentren en la red del cliente. Las solicitudes DHCP se pueden reenviar del mismo modo, ya que el encaminador no distingue las solicitudes DHCP de las solicitudes BOOTP. El servidor Solaris DHCP tambin se puede configurar como agente de reenvo de BOOTP, si no hay disponible ningn encaminador que admita el reenvo de BOOTP. Arranque de red: Los clientes pueden utilizar DHCP para obtener la informacin necesaria para arrancar desde un servidor de la red, en lugar de utilizar RARP (Reverse Address Resolution Protocol) y el archivo bootparams. El servidor DHCP puede facilitar a un cliente toda la informacin que necesita para funcionar, incluida la direccin IP, el servidor de arranque y la informacin de configuracin de red. Dado que las solicitudes DHCP se pueden reenviar por subredes, es posible usar menos servidores de arranque en la red cuando se utiliza el arranque de red DHCP. El arranque RARP requiere que cada subred tenga un servidor de arranque. Amplia compatibilidad de red: Las redes con millones de clientes DHCP pueden utilizar Solaris DHCP. El servidor DHCP utiliza varios subprocesos para procesar a la vez mltiples solicitudes de clientes. El servidor tambin admite almacenes de datos optimizados para
318
Funcionamiento de DHCP
administrar grandes cantidades de datos. El acceso de los almacenes de datos se administra mediante mdulos de procesamiento independientes. Este tipo de almacn de datos permite la compatibilidad para cualquier base de datos que se necesite.
En primer lugar, debe instalar y configurar el servidor DHCP. Durante la configuracin, se especifica la informacin sobre la red en la que deben funcionar los clientes. Una vez especificada esta informacin, los clientes pueden solicitar y recibir informacin de red. La secuencia de eventos del servicio DHCP se muestra en el diagrama siguiente. Los nmeros de los crculos corresponden a los elementos que se enumeran en la descripcin que sigue al diagrama.
Captulo 12 Solaris DHCP (descripcin general)
319
Servidor 1
Cliente
Servidor 2
1 Descubrir servidores DHCP. 2 Los servidores proporcionan informacin sobre configuracin y direcciones IP .
Tiempo
Recopilar ofertas y seleccionar una
3 Solicitar configuracin del servidor 2 seleccionado.
4 Reconocer solicitud. Se configura el cliente Se acaba el tiempo de permiso 5 Solicitar renovacin de permiso.
6 Reconocer solicitud. El cliente ha finalizado con direccin IP
7 Liberar direccin IP.
FIGURA 121
Secuencia de eventos para el servicio DHCP
320
El diagrama anterior muestra los siguientes pasos: 1. El cliente descubre un servidor DHCP emitiendo un mensaje de descubrimiento a la direccin de emisin limitada (255.255.255.255) de la subred local. Si hay un encaminador y esta configurado para hacer de agente de reenvo de BOOTP, la solicitud se transfiere a otros servidores DHCP de diferentes subredes. La emisin incluye su ID exclusivo, que, en la implementacin de Solaris DHCP, se obtiene de la direccin de control de acceso de soportes (MAC) del cliente. En una red Ethernet, la direccin MAC es la misma que la direccin Ethernet. Los servidores DHCP que reciben el mensaje de descubrimiento pueden determinar la red del cliente con la informacin siguiente:
En qu interfaz de red se sita la solicitud? El servidor determina si el cliente se encuentra en la red a la que est conectada la interfaz o si est utilizando un agente de reenvo de BOOTP conectado a dicha red. Incluye la solicitud la direccin IP de un agente de reenvo de BOOTP? Cuando una solicitud pasa por un agente de reenvo, ste inserta su direccin en el encabezado de la solicitud. Cuando el servidor detecta una direccin de agente de reenvo, el servidor sabe que la parte de red de la direccin indica la direccin de red del cliente porque el agente de reenvo debe estar conectado a la red del cliente. La red del cliente cuenta con subredes? El servidor consulta la tabla netmasks para encontrar la mscara de subred que se utiliza en la red que indica la direccin del agente de reenvo o la direccin de la interfaz de red que recibi la solicitud. Cuando el servidor conoce la mscara de subred que se utiliza, puede determinar qu parte de la direccin de red es la parte del host, y a continuacin seleccionar una direccin IP adecuada para el cliente. Consulte la pgina del comando man netmasks(4) para obtener informacin sobre netmasks.
2. Cuando los servidores DHCP determinan la red del cliente, seleccionan una direccin IP adecuada y verifican que no est en uso. A continuacin, los servidores DHCP responden al cliente emitiendo un mensaje de oferta. El mensaje de oferta incluye la direccin IP seleccionada e informacin sobre los servicios que se pueden configurar para el cliente. Cada servidor reserva temporalmente la direccin IP ofrecida hasta que el cliente determina si utilizar la direccin IP. 3. El cliente selecciona la mejor oferta basndose en el nmero y el tipo de servicios ofrecidos. El cliente emite una solicitud que especifica la direccin IP del servidor que realiz la mejor oferta. La emisin garantiza que todos los servidores DHCP de respuesta sepan que el cliente ha seleccionado un servidor. Los servidores que no se eligen pueden cancelar las reservas de las direcciones IP que haban ofrecido. 4. El servidor seleccionado asigna la direccin IP para el cliente y almacena la informacin en el almacn de datos DHCP. El servidor tambin enva un mensaje de reconocimiento (ACK) al cliente. El mensaje de reconocimiento contiene los parmetros de configuracin de red
Captulo 12 Solaris DHCP (descripcin general) 321
Servidor Solaris DHCP
para el cliente. La utilidad ping permite al cliente probar la direccin IP para asegurarse de que no la est utilizando otro sistema. A continuacin, el cliente sigue arrancndose para unirse a la red. 5. El cliente supervisa el tiempo de permiso. Una vez transcurrido un periodo determinado, el cliente enva un nuevo mensaje al servidor seleccionado para aumentar el tiempo de permiso. 6. El servidor DHCP que recibe la solicitud ampla el tiempo de permiso si el permiso sigue cumpliendo la directiva de permiso local que ha fijado el administrador. Si el servidor no responde en 20 segundos, el cliente emite una solicitud para que uno de los dems servidores DHCP pueda ampliar el permiso. 7. Cuando el cliente ya no necesita la direccin IP, notifica al servidor que la direccin IP est libre. Esta notificacin puede tener lugar durante un cierre ordenado y tambin se puede realizar manualmente.

El servidor Solaris DHCP se ejecuta como en el sistema operativo Solaris (Solaris OS) en un sistema host. El servidor desempea dos funciones bsicas:
Administra direcciones IP: El servidor DHCP controla una serie de direcciones IP y las asigna a los clientes, ya sea de forma permanente o durante un periodo determinado. El servidor utiliza un mecanismo de permiso para determinar durante cunto tiempo un cliente puede utilizar una direccin que no sea permanente. Cuando se deja de utilizar la direccin, se devuelve a la agrupacin y se puede volver a asignar. El servidor contiene informacin sobre la vinculacin de direcciones IP a los clientes de sus tablas de red DHCP, con lo cual se garantiza que no haya ms de un cliente que utilice la misma red. Configura la red para los clientes: El servidor asigna una direccin IP y proporciona otra informacin para la configuracin de red, como un nombre de host, una direccin de emisin, una mscara de subred, un portal predeterminado, un servicio de nombres y mucha otra informacin. La informacin de configuracin de red se obtiene de la base de datos dhcptab del servidor.
El servidor DHCP de Solaris tambin se puede configurar para llevar a cabo las siguientes funciones adicionales:
Responder a las solicitudes de clientes BOOTP: El servidor escucha las emisiones de los clientes BOOTP en las que se descubre un servidor BOOTP y les proporciona una direccin IP y los parmetros de arranque. Un administrador debe configurar la informacin de modo esttico. El servidor DHCP puede actuar como servidor BOOTP y como servidor DHCP de forma simultnea. Reenviar solicitudes: El servidor reenva solicitudes de BOOTP y DHCP a los servidores pertinentes de otras subredes. El servidor no puede proporcionar el servicio DHCP o BOOTP cuando est configurado como agente de reenvo de BOOTP.
322
Proporcionar compatibilidad con arranque de red para los clientes DHCP: El servidor puede proporcionar a los clientes DHCP la informacin necesaria para arrancar desde la red: una direccin IP, los parmetros de arranque y la informacin de configuracin de la red. El servidor tambin puede proporcionar la informacin que necesitan los clientes DHCP para arrancar e instalar un una red de rea extensa (WAN). Actualizar las tablas DNS para los clientes que proporcionan un nombre de host: Para los clientes que proporcionan un valor y una opcin Hostname en sus solicitudes para el servicio DHCP, el servidor puede tratar de actualizar DNS en su lugar.
Administracin del servidor DHCP

Como superusuario, puede iniciar, detener y configurar el servidor DHCP con el Administrador de DHCP o con las utilidades de lnea de comandos que se describen en Utilidades de la lnea de comandos de DHCP en la pgina 326. Por norma general, el servidor DHCP est configurado para iniciarse automticamente cuando se arranca el sistema, y para detenerse cuando se cierra el sistema. En condiciones normales, no es necesario iniciar y detener manualmente el servidor.
Almacn de datos de DHCP

Todos los datos que utiliza el servidor Solaris DHCP se guardan en el almacn de datos. El almacn de datos puede contener archivos de texto sin formato, tablas NIS+ o archivos de formato binario. Al configurar el servicio DHCP, debe seleccionar el tipo de almacn de datos que utilizar. En la seccin Seleccin del almacn de datos DHCP en la pgina 339 se describen las diferencias entre los distintos tipos de almacenes de datos. Puede cambiar el formato de un almacn de datos utilizando el Administrador de DHCP o el comando dhcpconfig. Tambin puede transferir los datos de un almacn de datos de un servidor DHCP a otro almacn de datos de otro servidor. Puede utilizar las funciones de importacin y exportacin de los almacenes de datos, aunque los servidores utilicen distintos formatos de almacenes de datos. Es posible importar y exportar todo el contenido de un almacn de datos, o slo algunos de los datos que contiene, utilizando el Administrador de DHCP o el comando dhcpconfig.
Nota Puede utilizar cualquier formato de archivo o base de datos para el almacenamiento de
datos de DHCP si desarrolla su propio mdulo de cdigo para proporcionar una interfaz entre Solaris DHCP (herramientas de administracin y servidor) y la base de datos. Para obtener ms informacin, consulte Solaris DHCP Service Developers Guide.
323
El almacn de datos de Solaris DHCP incluye dos tipos de tablas. Puede ver y administrar el contenido de estas tablas utilizando el Administrador de DHCP o las utilidades de la lnea de comandos. Las tablas de datos son:
Tabla dhcptab: Incluye la informacin de configuracin que se puede transferir a los clientes. Tablas de red DHCP: Contienen informacin sobre los clientes DHCP y BOOTP que residen en la red especificada en el nombre de tabla. Por ejemplo, la red 192.168.32.0 tendra una tabla cuyo nombre incluye 192_168_32_0.
La tabla dhcptab
La tabla dhcptab contiene toda la informacin que pueden obtener los clientes del servidor DHCP. El servidor DHCP explora la tabla dhcptab cada vez que se inicia. El nombre de archivo de la tabla dhcptab vara en funcin del almacn de datos que se utiliza. Por ejemplo, la tabla dhcptab creada por el almacn de datos NIS+ SUNWnisplus es SUNWnisplus1_dhcptab. El protocolo DHCP define una serie de elementos de informacin estndar que se pueden transferir a los clientes. Estos elementos se denominan parmetros, smbolos u opciones. Las opciones se definen en el protocolo DHCP mediante cdigos numricos y etiquetas de texto, pero sin valores. En la tabla siguiente se incluyen algunas de las opciones estndar que se utilizan normalmente.
TABLA 121 Cdigo
Ejemplo de opciones estndar de DHCP

Etiqueta Descripcin
1 3 6 12 15
Subnet Router DNSserv Hostname DNSdmain
Direccin IP de mscara de subred Direccin IP para el encaminador Direccin IP para el servidor DNS Cadena de texto para el nombre de host del cliente Nombre de dominio DNS
Al proporcionar informacin durante la configuracin del servidor, se asignan valores automticamente a algunas opciones. Puede asignar valores a otras opciones de forma explcita posteriormente. Las opciones y sus valores se transfieren al cliente para proporcionar informacin de configuracin. Por ejemplo, el par de opcin/valor, DNSdmain=Georgia.Peach.COM, configura el nombre de dominio DNS del cliente como Georgia.Peach.COM. Las opciones se pueden agrupar con otras opciones en contenedores conocidos como macros, lo cual facilita la transferencia de informacin a un cliente. Algunas macros se crean automticamente durante la configuracin del servidor y contienen las opciones a las que se asign valores durante la configuracin. Las macros pueden contener a su vez otras macros.
El formato de la tabla dhcptab se describe en la pgina del comando man dhcptab(4) En el Administrador de DHCP, toda la informacin que se muestra en las fichas Opciones y Macros proviene de la tabla dhcptab. Consulte Opciones DHCP en la pgina 329 para obtener ms informacin acerca de las opciones. Consulte Macros DHCP en la pgina 329 si desea ms informacin sobre las macros. La tabla dhcptab no debe editarse manualmente. Debe utilizar el comando dhtadm o el Administrador de DHCP para crear, eliminar o modificar las opciones y macros.
Tablas de red DHCP

Una tabla de red DHCP asigna identificadores de cliente a las direcciones IP y el parmetro de configuracin asociado con cada direccin. El formato de las tablas de red se describe en la pgina del comando man dhcp_network(4) En el Administrador DHCP, toda la informacin de la ficha Direcciones proviene de las tablas de red.
Administrador de DHCP
El Administrador de DHCP es una herramienta de interfaz grfica de usuario (GUI) que puede utilizar para llevar a cabo todas las tareas de administracin asociadas al servicio DHCP. Puede utilizarlo para administrar el servidor y los datos que utiliza. Debe ser superusuario para ejecutar el Administrador de DHCP. Puede utilizar el Administrador de DHCP para:

Configurar y desconfigurar el servidor DHCP Iniciar, detener y reiniciar el servidor DHCP Desactivar y activar el servicio DHCP Personalizar la configuracin del servidor DHCP
El Administrador de DHCP permite administrar las direcciones IP, las macros de configuracin de red y las opciones de configuracin de red de los modos siguientes:

Agregar y eliminar redes en la administracin de DHCP Ver, agregar, modificar, eliminar y liberar direcciones IP en la administracin de DHCP Ver, agregar, modificar y eliminar macros de configuracin de red Ver, agregar, modificar y eliminar opciones de configuracin de red que no sean estndar
El Administrador de DHCP permite administrar los almacenes de datos DHCP de los modos siguientes:

Convertir datos a un nuevo formato de almacn de datos Mover los datos de DHCP de un servidor DHCP a otro exportndolos del primer servidor y luego importndolos en el segundo.
325
El Administrador de DHCP incluye una amplia ayuda en lnea sobre los procedimientos que permite realizar la herramienta. Para ms informacin, consulte Acerca del Administrador de DHCP en la pgina 362.
Utilidades de la lnea de comandos de DHCP

Todas las funciones de administracin de DHCP se pueden llevar a cabo con las utilidades de la lnea de comandos. Puede ejecutar las utilidades si ha iniciado sesin como superusuario o como usuario asignado al perfil de administracin de DHCP. Consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. En la tabla siguiente se enumeran las utilidades y se describe la finalidad de cada una de ellas.
TABLA 122 Orden

Descripcin y finalidad Vnculos de pgina del comando man
in.dhcpd
El daemon del servicio DHCP. Los argumentos de in.dhcpd(1M) la lnea de comandos permiten configurar varias opciones del tiempo de ejecucin. Se utiliza para configurar y anular la dhcpconfig(1M) configuracin de un servidor DHCP. Esta utilidad permite realizar muchas de las funciones del Administrador de DHCP desde la lnea de comandos. Esta utilidad est diseada principalmente para utilizarse en secuencias de comandos para sitios que deseen automatizar algunas funciones de configuracin. dhcpconfig recopila informacin de los archivos de topologa de red del sistema de servidor para crear informacin til para la configuracin inicial. Se utiliza para agregar, eliminar y modificar las opciones de configuracin y las macros para los clientes DHCP. Esta utilidad permite editar la tabla dhcptab de forma indirecta, con lo cual se garantiza que la tabla dhcptab tenga el formato correcto. No debe editar directamente la tabla dhcptab. dhtadm(1M)
dhcpconfig
dhtadm
326
TABLA 122 Orden

Descripcin y finalidad
(Continuacin)
Vnculos de pgina del comando man
pntadm
Se utiliza para administrar las tablas de red de DHCP. Esta utilidad permite llevar a cabo las siguientes tareas: Agregar y eliminar direcciones IP y redes en la administracin de DHCP.
pntadm(1M)
Modificar la configuracin de red para las direcciones IP especificadas. Mostrar informacin sobre las direcciones IP y redes en la administracin de DHCP.
Control de acceso basado en roles para los comandos DHCP

La seguridad de los comandos dhcpconfig, dhtadm y pntadm la determina la configuracin del control de acceso basado en roles (RBAC). De modo predeterminado, slo el superusuario puede ejecutar los comandos. Si desea utilizar los comandos con otro nombre de usuario, debe asignar el nombre de usuario al perfil de administracin de DHCP tal como se describe en Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365.
Configuracin del servidor DHCP

Puede configurar el servidor Solaris DHCP la primera vez que ejecute el Administrador de DHCP en un sistema en el que vaya a ejecutar el servidor DHCP. Los cuadros de dilogo de configuracin del servidor del Administrador de DHCP solicitan la informacin bsica necesaria para permitir y ejecutar el servidor DHCP en una red. Algunos valores predeterminados se obtienen de los archivos del sistema. Si no ha configurado el sistema para la red, no habr valores predeterminados. El Administrador de DHCP le solicita la siguiente informacin:

El rol del servidor, tanto si es el servidor DHCP como el agente de reenvo de BOOTP El tipo de almacn de datos (archivos, archivos binarios, NIS+ o lo que haya especificado en su sitio) Los parmetros de configuracin del almacn de datos para el tipo de almacn de datos seleccionado El servicio de nombres que utilizar para actualizar los registros del host, en caso de haberlos (/etc/hosts , NIS+ o DNS) La duracin del permiso y si los clientes deben poder renovarlo
327
El nombre de dominio DNS y las direcciones IP de los servidores DNS Las direcciones de red y la mscara de subred de la primera red que desee configurar para el servicio DHCP El tipo de red, tanto si se trata de una red de rea local (LAN) como de una red de punto a punto El descubrimiento del encaminador o la direccin IP de un encaminador especfico El nombre de dominio NIS y la direccin IP de los servidores NIS El nombre de dominio NIS+ y la direccin IP de los servidores NIS+
Tambin puede configurar el servidor DHCP utilizando el comando dhcpconfig. Esta utilidad recopila informacin automticamente de los archivos de sistema existentes para proporcionar una configuracin inicial til. Por tanto, debe asegurarse de que los archivos sean correctos antes de ejecutar dhcpconfig. Consulte la pgina del comando man dhcpconfig(1M) para obtener informacin sobre los archivos que utiliza dhcpconfig para obtener informacin.
Asignacin de direcciones IP
El servidor Solaris DHCP admite los siguientes tipos de asignacin de direcciones IP:
Asignacin manual: El servidor proporciona una direccin IP especfica seleccionada para un cliente DHCP concreto. La direccin no se puede reclamar ni asignar a otro cliente. Asignacin automtica o permanente: El servidor proporciona una direccin IP que no tenga vencimiento, con lo cual se asocia de forma permanente con el cliente hasta que se cambie la asignacin o el cliente libere la direccin. Asignacin dinmica: El servidor proporciona una direccin IP a un cliente que la solicite, con un permiso para un periodo especfico. Cuando venza el permiso, la direccin volver al servidor y se podr asignar a otro cliente. El periodo lo determina el tiempo de permiso que se configure para el servidor.
Informacin de configuracin de red

Determine qu informacin va a proporcionar a los clientes DHCP. Cuando configure el servidor DHCP, facilite la informacin bsica sobre la red. Posteriormente, puede agregar a los clientes la informacin adicional que desee. El servidor DHCP almacena la informacin de configuracin de red en la tabla dhcptab, como pares de opcin/valor y macros. Las opciones son palabras clave para los datos de red que desee proporcionar a los clientes. Se asignan valores a las opciones y se transfieren a los clientes de los mensajes DHCP. Por ejemplo, la direccin del servidor NIS se transfiere mediante una opcin denominada NISservs. La opcin NISservs tiene un valor que equivale a una lista de direcciones IP, que asigna el servidor DHCP. Las macros constituyen una forma cmoda de
agrupar cualquier cantidad de opciones que desee proporcionar a los clientes. Puede utilizar el Administrador de DHCP para crear macros para agrupar opciones y asignar valores a las opciones. Si prefiere una herramienta de lnea de comandos, puede utilizar dhtadm, la utilidad de administracin de la tabla de configuracin DHCP, para trabajar con las opciones y macros.
Opciones DHCP
En Solaris DHCP, una opcin es informacin de red que se puede transferir a un cliente. La documentacin sobre DHCP tambin hace referencia a las opciones como smbolos o etiquetas. Una opcin se define mediante un cdigo numrico y una etiqueta de texto. Una opcin recibe un valor cuando se utiliza en el servicio DHCP. El protocolo DHCP define un nmero mayor de opciones estndar para los datos de red especificados de modo comn: Subnet, Router, Broadcst, NIS+dom, Hostname y LeaseTim son algunos ejemplos. En la pgina del comando man dhcp_inittab(4) se muestra una lista completa de las opciones estndar. Las palabras clave de las opciones estndar no se pueden modificar de ningn modo. Sin embargo, puede asignar valores a las opciones relevantes para su red cuando incluya las opciones en las macros. Puede crear nuevas opciones para los datos que no estn representados por las opciones estndar. Las opciones que cree deben clasificarse en una de estas tres categoras:
Extendidas: Se reserva para las opciones que se han convertido opciones de DHCP estndar pero se incluyen en la implementacin del servidor DHCP. Puede utilizar la opcin extendida si conoce una opcin estndar que desee utilizar, pero no desea actualizar el servidor DHCP. Sitio: Se reserva para opciones exclusivas del sitio. Estas opciones se crean. Distribuidor: Se reserva para las opciones que slo deben aplicarse a los clientes de una clase concreta, como una plataforma de distribuidor o hardware. La implementacin de Solaris DHCP incluye una serie de opciones de distribuidor para los clientes de Solaris. Por ejemplo, la opcin SrootIP4 se utiliza para especificar la direccin IP de un servidor que debera utilizar un cliente arranca desde la red para su sistema de archivos root (/).
El Captulo 15, Administracin de DHCP (tareas) incluye los procedimientos para crear, modificar y eliminar las opciones de DHCP.
Macros DHCP
En el servicio de Solaris DHCP, una macro es un conjunto de opciones de configuracin de red y los valores que se les asignan. Las macros se crean para agrupar opciones para transferir a clientes o tipos de clientes especficos. Por ejemplo, una macro diseada para todos los clientes de una subred concreta podran contener pares de opcin/valor para la mscara de subred, direcciones IP de encaminador, direcciones de emisin, dominio NIS+ y tiempo de permiso.
Procesamiento de macros con el servidor DHCP

Cuando el servidor DHCP procesa una macro, coloca las opciones de red y los valores definidos en la macro en un mensaje DHCP para un cliente. El servidor procesa algunas macros automticamente para los clientes de un tipo especfico. Para que el servidor procese automticamente una macro, el nombre de la macro debe formar parte de una de las categoras que se incluyen en la tabla siguiente.
TABLA 123
Categoras de macros DHCP para procesamiento automtico

Descripcin
Categora de macro
Clase de cliente
El nombre de la macro coincide con una clase de cliente, que se indica mediante el tipo de mquina del cliente, el sistema operativo, o ambos. Por ejemplo, si un servidor tiene una macro denominada SUNW.Sun-Blade-100, cualquier cliente cuya implementacin de hardware sea SUNW,Sun-Blade-100 recibir automticamente los valores de la macro SUNW.Sun-Blade-100. El nombre de la macro coincide con una direccin IP de la red administrada por DHCP. Por ejemplo, si un servidor tiene una macro denominada 10.53.224.0, cualquier cliente conectado a la red 10.53.224.0 recibir de manera automtica los valores de la macro 10.53.224.0. El nombre de macro coincide con algunos identificadores exclusivos del cliente, que normalmente se obtienen de una direccin MAC o Ethernet. Por ejemplo, si un servidor tiene una macro denominada 08002011DF32, el cliente con el ID de cliente 08002011DF32 (derivado de la direccin Ethernet 8:0:20:11:DF:32 ), recibir automticamente los valores de la macro denominada 08002011DF32.
Direccin de red
Id. de cliente
Una macro con un nombre que no utilice una de las categoras incluidas en la Tabla 123 slo se puede procesar si se cumple una de estas condiciones:

La macro est asignada a una direccin IP. La macro se incluye en otra macro que se procesa automticamente. La macro se incluye en otra macro que est asignada a una direccin IP.
Nota Al configurar un servidor, se crea de forma predeterminada una macro cuyo nombre coincide con el nombre del servidor. Esta macro de servidor no se procesa automticamente para ningn cliente porque no tiene el nombre de uno de los tipos que desencadenan el procesamiento automtico. Cuando crea direcciones IP en el servidor posteriormente, las direcciones IP se asignan para utilizar la macro del servidor de modo predeterminado.
330
Cliente de Solaris DHCP
Orden del procesamiento de macros

Cuando un cliente DHCP solicita servicios DHCP, el servidor DHCP determina qu macros coinciden con el cliente. El servidor procesa las macros utilizando las categoras de macro para determinar el orden del procesamiento. La categora ms general se procesa en primer lugar, y la ms especfica en ltimo lugar. Las macros se procesan en el siguiente orden: 1. Macros de clase de cliente: la categora ms general. 2. Macros de direccin de red: ms especficas que las de clase de cliente. 3. Macros asignadas a direcciones IP: ms especficas que las de direccin de red. 4. Macros de ID de cliente: la categora ms especfica, que pertenece a un cliente. Una macro que est incluida en otra macro se procesa como parte de la macro que la contiene. Si la misma opcin se incluye en ms de una macro, se utiliza el valor de dicha opcin en la macro cuya categora sea ms especfica, ya que se procesa en ltimo lugar. Por ejemplo, si una macro de direccin de red contiene la opcin de tiempo de permiso con un valor de 24 horas, y una macro de ID de cliente contiene la opcin de tiempo de permiso con un valor de 8 horas, el cliente recibe un tiempo de permiso de 8 horas.
Lmite de tamao para las macros DHCP

La suma total de los valores asignados a todas las opciones de una macro no debe superar los 255 bytes, incluidos los cdigos de opcin y la informacin sobre la longitud. Este lmite lo dicta el protocolo DHCP. Las macros que es ms probable que se vean afectadas por este lmite son las macros que se utilizan para transferir rutas a los archivos de los servidores de instalacin de Solaris. Por lo general debe pasar la mnima informacin necesaria sobre el distribuidor. Debe usar nombres cortos para las rutas en las opciones que necesiten nombres de rutas. Si crea enlaces simblicos con rutas largas, podr pasar nombres de enlaces ms breves.
Cliente de Solaris DHCP

El trmino "cliente" se utiliza a veces para hacer referencia a un equipo fsico que est desempeando un rol de cliente en la red. Sin embargo, el cliente DHCP descrito en este documento es una entidad de software. El cliente de Solaris DHCP es un daemon (dhcpagent) que se ejecuta en Solaris OS en un sistema configurado para recibir su configuracin de red de un servidor DHCP. Los clientes DHCP de otros proveedores tambin pueden utilizar los servicios del servidor de Solaris DHCP. Sin embargo, este documento slo describe el cliente de Solaris DHCP. Consulte el Captulo 16, Configuracin y administracin del cliente DHCP para obtener informacin detallada sobre el cliente de Solaris DHCP.
332
13
C A P T U L O
1 3
Planificacin del servicio DHCP (tareas)
Puede utilizar el servicio DHCP en una red que est creando o en una que ya exista. Si esta configurando una red, consulte el Captulo 2, Planificacin de la red TCP/IP (tareas) antes de configurar el servicio DHCP. Si ya existe una red, contine en este captulo. En l se describen los pasos necesarios para configurar el servicio DHCP en la red. La informacin est destinada para uso con el Administrador de DHCP, aunque tambin puede utilizar la utilidad de lnea de comandos de dhcpconfig para configurar el servicio DHCP. Este captulo contiene la informacin siguiente:

Preparacin de la red para el servicio DHCP (mapa de tareas) en la pgina 333 Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) en la pgina 338 Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 341 Planificacin de mltiples servidores DHCP en la pgina 345 Planificacin de la configuracin DHCP de las redes remotas en la pgina 346 Seleccin de la herramienta para configurar DHCP en la pgina 346
Preparacin de la red para el servicio DHCP (mapa de tareas)

Antes de configurar la red para el uso de DHCP, debe recopilar la informacin que le permita tomar las decisiones sobre la configuracin de uno o ms servidores. Utilice el siguiente mapa de tareas para identificar las tareas que le permitirn preparar su red para DHCP.
Asignar topologa de red.
Determina y localiza los servicios disponibles en la red.
Asignacin de topologa de red en la pgina 334
333
Tarea
Descripcin
Determinar el nmero de servidores DHCP que se necesitan.
Utiliza el nmero previsto de clientes DHCP como base para determinar la cantidad de servidores DHCP que se necesitan. Refleja la topologa de red de un modo preciso.
Cmo determinar el nmero de servidores DHCP en la pgina 335
Actualizar archivos de sistema y tabla netmasks.
Actualizacin de archivos de sistema y tablas de mscara de red en la pgina 336
Asignacin de topologa de red

Si todava no lo ha hecho, asigne la estructura fsica de la red. Indique la ubicacin de los encaminadores y los clientes, as como la ubicacin de los servidores que proporcionan servicios de red. Esta asignacin de la topologa de red le permite determinar qu servidor utilizar para el servicio DHCP. La asignacin tambin le ayuda a determinar la informacin de configuracin que el servidor DHCP puede proporcionar a los clientes. Consulte el Captulo 2, Planificacin de la red TCP/IP (tareas) para obtener ms informacin sobre cmo programar la red. El proceso de configuracin de DHCP permite reunir informacin de red de los archivos de red y el sistema del servidor. Actualizacin de archivos de sistema y tablas de mscara de red en la pgina 336 describe estos archivos. Sin embargo, puede ofrecer a los clientes otra informacin de servicio, que debe especificar en las macros del servidor. Cuando examine la topologa de red, registre las direcciones IP de cualquier servidor que desea que conozcan los clientes. Por ejemplo, los siguientes servidores pueden proporcionar servicios en su red. La configuracin de DHCP no descubre estos servidores.

Servidor de tiempo Servidor de registro Servidor de impresin Servidor de instalacin Servidor de arranque Servidor proxy Web Servidor de intercambio Servidor de fuentes de ventanas X Servidor de Trivial File Transfer Protocol (TFTP)
Topologa de red que evitar

En algunos entornos de red IP, varias redes de rea local (LAN) comparten el mismo soporte de hardware de red. Las redes pueden utilizar varias interfaces de hardware de red o varias interfaces lgicas. DHCP no funciona bien en este tipo de redes de soportes compartidos.
Cuando varias LAN se ejecutan en la misma red fsica, la solicitud de un cliente DHCP llega a todas las interfaces de hardware de red. Con ello parece que el cliente est conectado a todas las redes IP de forma simultnea. DHCP debe poder determinar la direccin de una red de cliente para asignar una direccin IP adecuada al cliente. Si en el soporte de hardware hay ms de una red, el servidor no puede determinar la red del cliente. El servidor no puede asignar una direccin IP sin conocer el nmero de red. Puede utilizar DHCP slo en una de las redes. Si una red no satisface sus necesidades de DHCP, debe volver a configurar las redes. Debe tener en cuenta las siguientes sugerencias:
Utilice una mscara de subred de longitud variable (VLSM) en las subredes para aprovechar al mximo el espacio de direcciones IP del que dispone. Es posible que no tenga que ejecutar varias redes en la misma red fsica. Consulte la pgina del comando man netmasks(4) para obtener informacin sobre la implementacin de subredes de longitud variable. Para obtener ms informacin sobre el encaminamiento entre dominios sin clase (CIDR) (CIDR) y VLSM, consulte http://www.ietf.org/rfc/rfc1519.txt. Configure los puertos de los conmutadores para asignar dispositivos a las diferentes LAN fsicas. Esta tcnica conserva la asignacin de una LAN a una red IP, necesaria para Solaris DHCP. Consulte la documentacin del conmutador para obtener informacin sobre cmo configurar los puertos.
Cmo determinar el nmero de servidores DHCP

La opcin de almacn de datos que elija tiene un efecto directo en el nmero de servidores que debe tener para admitir los clientes DHCP. La tabla siguiente muestra el nmero mximo de clientes DHCP y BOOTP que puede admitir un servidor DHCP para cada almacn de datos.
TABLA 131
Nmero mximo estimado de clientes admitidos por un servidor DHCP

Nmero mximo de clientes admitidos
Tipo de almacn de datos
Archivos de texto NIS+ Archivos binarios
10.000 40.000 100.000
Este nmero mximo es una pauta general, no una cifra absoluta. La capacidad de un cliente de servidor DHCP depende en gran medida de la cantidad de transacciones por segundo que deba procesar el servidor. Los tiempos de permisos y los patrones de uso tienen un impacto significativo en la tasa de transaccin. Por ejemplo, supongamos que los permisos estn configurados en 12 horas y que los usuarios apagan los sistemas por la noche. Si muchos usuarios encienden sus sistemas a la misma hora por la maana, el servidor debe administrar
Captulo 13 Planificacin del servicio DHCP (tareas) 335
picos de transacciones, ya que muchos clientes solicitan permisos a la vez. El servidor DHCP admite menos clientes en dichos entornos. El servidor DHCP puede admitir ms clientes en un entorno con permisos ms largos, o en un entorno compuesto por dispositivos que estn conectados permanentemente, como los mdems por cable. En la seccin Seleccin del almacn de datos DHCP en la pgina 339 se comparan los tipos de almacenes de datos.
Actualizacin de archivos de sistema y tablas de mscara de red

Durante la configuracin de DHCP, las herramientas DHCP exploran varios archivos de sistema del servidor para obtener informacin que se pueda utilizar para configurar el servidor. Debe estar seguro de que la informacin de los archivos del sistema sea actual antes de ejecutar el Administrador de DHCP o dhcpconfig para configurar el servidor. Si detecta errores antes de configurar el servidor, utilice el Administrador de DHCP o dhtadm para modificar las macros del servidor. En la tabla siguiente se incluye parte de la informacin recopilada durante la configuracin del servidor DHCP, y las fuentes de la informacin. Asegrese de que esta informacin est configurada correctamente en el servidor antes de configurar DHCP en el servidor. Si realiza cambios en los archivos del sistema despus de configurar el servidor, debe volver a configurar el servicio para que los refleje.
TABLA 132 Informacin
Informacin utilizada para la configuracin de DHCP

Origen Comentarios
Zona horaria
Fecha del sistema, configuracin de zona horaria
La fecha y la zona horaria se configuran inicialmente durante la instalacin de Solaris. Puede cambiar la fecha utilizando el comando date. Puede cambiar la zona horaria editando el archivo /etc/default/init para fijar la variable de entorno TZ. Consulte la pgina del comando man TIMEZONE(4) para obtener ms informacin.
336
TABLA 132 Informacin
Informacin utilizada para la configuracin de DHCP

Origen
(Continuacin)
Comentarios
Parmetros de DNS
/etc/resolv.conf
El servidor DHCP utiliza el archivo /etc/resolv.conf para obtener los parmetros de DNS como el nombre de dominio DNS o las direcciones de servidor DNS. Consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) o la pgina del comando man resolv.conf(4) para obtener ms informacin sobre resolv.conf.
Parmetros NIS o NIS+
Nombre de dominio de sistema, El servidor DHCP utiliza el comando nsswitch.conf, NIS o NIS+ domainname para obtener el nombre de dominio del sistema de servidor. El archivo nsswitch.conf indica al servidor dnde debe buscar la informacin del dominio. Si el sistema de servidor es un cliente NIS o NIS+, el servidor DHCP realiza una consulta para obtener las direcciones IP del servidor NIS o NIS+. Consulte la pgina del comando man nsswitch.conf(4) para obtener ms informacin. El servidor DHCP busca en las tablas de encaminamiento del sistema el encaminador predeterminado para los clientes conectados a la red local. Para los clientes que no se encuentren en la misma red, el servidor DHCP debe solicitar la informacin. El servidor DHCP busca sus propias interfaces de red para determinar la direccin de mscara de red y de emisin para los clientes locales. Si la solicitud la emite un agente de reenvo, el servidor obtiene la mscara de subred de la tabla netmasks de la red del agente de reenvo. Para la red local, el servidor DHCP obtiene la direccin de emisin consultando la interfaz de red. Para las redes remotas, el servidor utiliza la direccin IP del agente de reenvo BOOTP y la mscara de red de la red remota para calcular la direccin de emisin de la red.
Encaminador predeterminado Tablas de encaminamiento del sistema, mensaje de usuario
Mscara de subred
Interfaz de red, tabla netmasks
Direccin de emisin
Interfaz de red, tabla netmasks
Captulo 13 Planificacin del servicio DHCP (tareas)
337
Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas)

En esta seccin se describen algunas de las decisiones que debe tomar antes de configurar el primer servidor DHCP de la red. Utilice este mapa de tareas para identificar las decisiones que debe tomar.
Seleccionar un servidor para DHCP.
Determina si un servidor rene los requisitos del sistema para ejecutar el servicio DHCP. Compara los tipos de almacn de datos para determinar el mejor para su sitio. Obtiene informacin de los permisos de direcciones IP para ayudarle a determinar la directiva de permiso adecuada para su sitio. Determina si los clientes DHCP utilizan descubrimiento de encaminador o un encaminador especfico.
Seleccin de un host para ejecutar el servicio DHCP en la pgina 338 Seleccin del almacn de datos DHCP en la pgina 339 Configuracin de una directiva de permiso en la pgina 340
Elegir un almacn de datos. Definir una directiva de permiso.
Seleccionar una direccin de encaminador o descubrimiento de encaminador.
Cmo determinar los encaminadores para clientes DHCP en la pgina 341
Seleccin de un host para ejecutar el servicio DHCP

Teniendo en cuenta la topologa de red, puede utilizar los siguientes requisitos del sistema para seleccionar un host en el que configurar un servidor DHCP. El host debe cumplir los siguientes requisitos:
Debe ejecutar Solaris 2.6 o una versin posterior. Si necesita utilizar un nmero de clientes ms elevado, debe instalar la versin Solaris 8 7/01 o una posterior. El host debe ser accesible a todas las redes que tengan clientes que necesiten utilizar DHCP, directamente en la red o a travs de un agente de reenvo de BOOTP. El host debe estar configurado para utilizar el encaminamiento. Adems, debe contar con una tabla netmasks configurada correctamente que refleje la topologa de la red.
338
Seleccin del almacn de datos DHCP

Puede almacenar los datos DHCP en archivos de texto, archivos binarios o el servicio de directorios NIS+. La tabla siguiente resume las funciones de cada tipo de almacn de datos, e indica el entorno en el que utilizar cada tipo de almacn de datos.
TABLA 133
Comparacin de almacenes de datos DHCP

Rendimiento Mantenimiento Uso compartido Entorno
Tipo de almacn de datos
Archivos binarios
Alto rendimiento, gran capacidad
Bajo mantenimiento, no se necesitan servidores de bases de datos. El contenido debe visualizarse con el Administrador de DHCP o dhtadm y pntadm. Se recomienda realizar copias de seguridad regulares de los archivos. El sistema de servidor DHCP debe estar configurado como cliente NIS+. Requiere mantenimiento del servicio NIS+. El contenido debe visualizarse con el Administrador de DHCP o dhtadm y pntadm. Se recomienda realizar copias de seguridad regulares con nisbackup. Bajo mantenimiento, no se necesitan servidores de bases de datos. El formato ASCII se puede leer sin el Administrador de DHCP, dhtadm o pntadm. Se recomienda realizar copias de seguridad regulares de los archivos.
Los almacenes de datos no se pueden compartir entre los servidores DHCP.
Entornos de medio y gran tamao con mltiples redes y miles de clientes por red. tiles para ISP de medio y gran tamao.
NIS+
Capacidad y rendimiento moderados, en funcin de la capacidad y el rendimiento del servicio NIS+
Los datos DHCP se distribuyen en NIS+, y varios servidores pueden acceder a los mismos contenedores.
Entornos de pequeo a mediano tamao, con un mximo de 5.000 clientes por red.
Archivos de texto
Rendimiento moderado, baja capacidad
El almacn de datos se puede compartir entre servidores DHCP si los datos DHCP estn almacenados en un sistema de archivos que se exporta mediante un punto de montaje NFS.
Entornos reducidos con menos de 10.000 clientes, de entre unos cientos hasta mil clientes por red.
339
Los NIS tradicionales no se ofrecen como opcin de almacn de datos porque no admiten actualizaciones incrementales rpidas. Si la red utiliza NIS, debe utilizar los archivos de texto o binarios para el almacn de datos.
Configuracin de una directiva de permiso

Un permiso especifica la cantidad de tiempo que el servidor DHCP permite a un cliente DHCP utilizar una direccin IP concreta. Durante la configuracin inicial del servidor, debe especificar una directiva de permiso para el sitio. La directiva de permiso indica el tiempo de permiso y especifica si los clientes pueden renovar sus permisos. El servidor utiliza la informacin que proporciona para configurar los valores de opciones de las macros predeterminadas que crea el servidor durante la configuracin. Puede establecer diferentes polticas de permiso para determinados clientes o tipos de clientes, configurando las opciones de las macros de configuracin que cree. El tiempo de permiso se especifica como cantidad de horas, das o semanas durante los que el permiso es vlido. Cuando se asigna una direccin IP a un cliente, o se renegocia un permiso en una direccin IP, se calculan la fecha y la hora de vencimiento del permiso. La cantidad de horas del tiempo de permiso se agrega a la indicacin de hora en el reconocimiento DHCP del cliente. Por ejemplo, supongamos que la indicacin de hora del reconocimiento DHCP es el 16 de septiembre de 2005 a las 9:15, y que el tiempo de permiso es de 24 horas. El tiempo de vencimiento del permiso de este ejemplo ser el 17 de septiembre de 2005 a las 9:15. El tiempo de vencimiento del permiso se guarda en el registro de red DHCP del cliente, que puede ver mediante el Administrador de DHCP o la utilidad pntadm. El valor del tiempo de permiso debe ser relativamente bajo para que las direcciones vencidas se puedan reclamar rpidamente. El valor del tiempo de permiso tambin debe ser lo suficientemente elevado para que se admitan interrupciones del servicio DHCP. Los clientes deben poder funcionar mientras se repara el sistema que ejecuta el servicio DHCP. Una pauta general es especificar un plazo que sea dos veces mayor que el tiempo de inactividad previsto del sistema. Por ejemplo, si necesita cuatro horas para encontrar y sustituir una parte defectuosa y para rearrancar el sistema, especifique un tiempo de permiso de ocho horas. La opcin de negociacin del permiso determina si un cliente puede volver a negociar su permiso con el servidor antes de que venza. Si se permite una negociacin del permiso, el cliente realiza un seguimiento del tiempo que queda de su permiso. Una vez transcurrida la mitad del permiso, el cliente solicita al servidor DHCP que ample el permiso al tiempo de permiso original. La negociacin del permiso debe desactivarse en los entornos en los que haya ms sistemas que direcciones IP. A continuacin, se aplica el lmite de tiempo en el uso de las direcciones IP. Si hay suficientes direcciones IP, debe permitir la negociacin del permiso para no obligar a los clientes a quitar las interfaces de red cuando venza el permiso. Si hace que los clientes obtengan nuevos permisos, sus conexiones TCP, como las sesiones NFS y telnet, podran verse interrumpidas. Puede activar la negociacin del permiso para todos los clientes
Toma de decisiones para la administracin de direcciones IP (mapa de tareas)
durante la configuracin del servidor. La negociacin del permiso se puede activar para determinados clientes o tipos de clientes mediante la opcin LeaseNeg de las macros de configuracin.
Nota Los sistemas que proporcionan servicios en la red deben conservar sus direcciones IP. Dichos sistemas no deben estar sujetos a permisos breves. Puede utilizar DHCP con dichos sistemas si asigna direcciones IP manuales reservadas a los sistemas, en lugar de direcciones IP con permisos permanentes. Puede detectar cundo se deja de utilizar la direccin IP del sistema.
Cmo determinar los encaminadores para clientes DHCP

Los sistemas host utilizan encaminadores para cualquier comunicacin de red ms all de la red local. Los hosts deben conocer las direcciones IP de estos encaminadores. Al configurar un servidor DHCP, debe proporcionar clientes DHCP con direcciones de encaminador, lo cual se puede hacer de dos modos. Uno es proporcionar direcciones IP especficas para los encaminadores. No obstante, el mejor mtodo es especificar que los clientes busquen los encaminadores con el protocolo de descubrimiento de encaminadores. Si los clientes de su red pueden realizar el descubrimiento de encaminadores, debe utilizar el protocolo de descubrimiento de encaminadores, aunque slo haya un encaminador. El descubrimiento de encaminadores permite a un cliente adaptarse fcilmente a los cambios del encaminador en la red. Por ejemplo, supongamos que un encaminador falla y se sustituye por otro con una direccin nueva. Los clientes pueden descubrir automticamente la nueva direccin sin necesidad de obtener una nueva configuracin de red para conseguir la direccin del nuevo encaminador.

Como parte de la configuracin del servicio DHCP, debe determinar varios aspectos de las direcciones IP que debe administrar el servidor. Si la red requiere ms de un servidor DHCP, puede asignar la responsabilidad para varias direcciones IP a cada servidor. Debe decidir cmo dividir la responsabilidad para las direcciones. El siguiente mapa de tareas le ayudar a tomar las decisiones sobre la administracin de las direcciones IP.
341
Tarea
Descripcin
Especificar las direcciones que debe administrar el servidor.
Determina cuntas direcciones desea que administre el servidor DHCP, y cules son dichas direcciones.
Nmero y rangos de direcciones IP en la pgina 342 Generacin de nombres de host de cliente en la pgina 342 Macros de configuracin de cliente predeterminadas en la pgina 343 Tipos de permiso dinmico y permanente en la pgina 344
Decidir si el servidor debe generar Muestra cmo se generan los nombres de automticamente los nombres de host para host de cliente para que pueda decidir si va los clientes. a generar nombres de host. Determinar la macro de configuracin que Muestra las macros de configuracin de asignar a los clientes. cliente para que pueda seleccionar una macro adecuada para los clientes. Determinar los tipos de permisos que utilizar. Muestra los tipos de permisos para ayudarle a determinar cul es mejor para sus clientes DHCP.
Nmero y rangos de direcciones IP

Durante la configuracin inicial del servidor, el Administrador de DHCP permite agregar un bloque (o rango) de direcciones IP en la administracin de DHCP especificando el total de direcciones y la primera direccin del bloque. El Administrador DHCP agrega una lista de direcciones contiguas a partir de esta informacin. Si cuenta con varios bloques de direcciones no contiguas, puede agregar otros ejecutando de nuevo el Asistente de direcciones del Administrador de DHCP tras la configuracin inicial. Antes de configurar las direcciones IP, debe conocer cuntas direcciones hay en el bloque de direcciones inicial que desea agregar y la direccin IP de la primera direccin del rango.
Generacin de nombres de host de cliente

La naturaleza dinmica de DHCP significa que una direccin IP no est asociada permanentemente con el nombre de host del sistema que la est utilizando. Las herramientas de administracin de DHCP pueden generar un nombre de cliente para asociar con cada direccin IP si selecciona esta opcin. Los nombres de cliente se componen de un prefijo, un nombre raz, ms un guin y un nmero asignado por el servidor. Por ejemplo, si el nombre raz es charlie, los nombres de cliente sern charlie-1, charlie-2, charlie-3, etc. De modo predeterminado, los nombres de clientes generados empiezan por el nombre del servidor DHCP que los administra. Esta estrategia resulta til en entornos que tienen ms de un servidor DHCP porque puede ver rpidamente en las tablas de red de DHCP qu clientes administra un servidor DHCP concreto. Sin embargo, puede cambiar el nombre raz a un nombre de su eleccin.
Antes de configurar las direcciones IP, decida si desea que las herramientas de administracin de DHCP generen nombres de clientes y, de ser as, qu nombre raz se debe utilizar para los nombres. Los nombres de cliente generados se pueden asignar a las direcciones IP de /etc/inet/hosts, DNS o NIS+ si especifica que se registren los nombres de host durante la configuracin de DHCP. Consulte Registro de nombres de host de cliente en la pgina 378 para obtener ms informacin.
Macros de configuracin de cliente predeterminadas

En Solaris DHCP, una macro es un conjunto de opciones de configuracin de red y sus valores asignados. El servidor DHCP utiliza las macros para determinar qu informacin de configuracin de red se enviar a un cliente DHCP. Al configurar el servidor DHCP, las herramientas de administracin recopilan informacin de los archivos del sistema y directamente del usuario a travs de consultas o las opciones de la lnea de comandos que especifique. Con esta informacin, las herramientas de administracin crean las siguientes macros:
Macro de direccin de red: El nombre de la macro de direccin de red coincide con la direccin IP de la red del cliente. Por ejemplo, si la red es 192.68.0.0, la macro de la direccin de red recibe el nombre 192.68.0.0. La macro contiene la informacin que necesita cualquier cliente que forme parte de la red, como la mscara de subred, la direccin de emisin de red, el encaminador predeterminado o el token de descubrimiento del encaminador, as como el servidor y el dominio NIS/NIS+ si el servidor utiliza NIS/NIS+. Podran incluirse otras opciones aplicables a la red. La macro de la direccin de red se procesa automticamente para todos los clientes que se encuentran en dicha red, tal como se describe en Orden del procesamiento de macros en la pgina 331. Macro de configuracin regional: Esta macro recibe el nombre de Locale. Contiene el desfase (en segundos) de la hora universal coordinada (UTC) para especificar la zona horaria. La macro de configuracin regional no se procesa automticamente, pero se incluye en la macro del servidor. Macro del servidor: El nombre de esta macro coincide con el nombre de host del servidor. Por ejemplo, si el servidor se denomina pineola, la macro del servidor tambin se llamar pineola. La macro del servidor contiene informacin sobre la directiva de permiso, el servidor de tiempo, el dominio DNS y el servidor DNS, y posiblemente otra informacin que el programa de configuracin haya obtenido de los archivos del sistema. La macro del servidor incluye la macro de configuracin regional, de modo que el servidor DHCP procesa la macro de configuracin regional como parte de la macro de servidor. Al configurar las direcciones IP para la primera red, debe seleccionar una macro de configuracin de cliente para utilizar con todos los clientes DHCP que utilicen las direcciones que est configurando. La macro que selecciona se asigna a las direcciones IP. De
343
modo predeterminado, se selecciona la macro de servidor porque contiene la informacin que necesitan todos los clientes que utilizan este servidor. Los clientes reciben las opciones que contiene la macro de direccin de red antes que las opciones de la macro que est asignada a las direcciones IP. Este orden de procesamiento hace que las opciones de la macro del servidor tengan prioridad sobre cualquier opcin de la macro de direccin de red. Consulte Orden del procesamiento de macros en la pgina 331 para obtener ms informacin sobre el orden en el que se procesan las macros.
Tipos de permiso dinmico y permanente

El tipo de permiso determina si la directiva de permiso se aplica a las direcciones IP que se estn configurando. Durante la configuracin inicial del servidor, el Administrador de DHCP permite seleccionar permisos dinmicos o permanentes para las direcciones que se estn agregando. Si configura el servidor DHCP con el comando dhcpconfig, los permisos son dinmicos. Cuando una direccin tiene un permiso dinmico, el servidor DHCP puede administrar la direccin. El servidor DHCP puede asignar la direccin IP a un cliente, ampliar el tiempo de permiso, detectar cundo se deja de utilizar una direccin y reclamar la direccin. Si una direccin IP tiene un permiso permanente, el servidor DHCP slo puede asignar la direccin. El cliente es propietario de la direccin hasta que la libere de forma explcita. Cuando se libera la direccin, el servidor puede asignarla a otro cliente. La direccin no est sujeta a la directiva de permiso si la direccin est configurada con un tipo de permiso permanente. Si se configura un rango de direcciones IP, el tipo de permiso que seleccione se aplicar a todas las direcciones del rango. Para aprovechar al mximo DHCP, debe utilizar los permisos dinmicos para la mayora de las direcciones. Posteriormente puede modificar direcciones concretas para convertirlas en permanentes, si es preciso. No obstante, la cantidad total de permisos permanentes debe ser mnima.
Tipos de permisos y direcciones IP reservadas

Las direcciones IP se pueden reservar asignndolas manualmente a clientes especficos. Una direccin reservada se puede asociar con un permiso permanente o un permiso dinmico. Cuando se asigna un permiso permanente a una direccin reservada, se aplica lo siguiente:

La direccin slo se puede asignar al cliente que est vinculado a la direccin. El servidor DHCP no puede asignar la direccin a otro cliente. El servidor DHCP no puede reclamar esta direccin.
Cuando se asigna un permiso dinmico a una direccin reservada, la direccin slo se puede asignar al cliente que est vinculado a la direccin. Sin embargo, el cliente debe controlar el
Planificacin de mltiples servidores DHCP
tiempo del permiso y negociar una ampliacin del mismo, como si la direccin no estuviera reservada. Esta estrategia permite controlar mediante la tabla de red cundo utiliza la direccin el cliente. No es posible crear direcciones reservadas para todas las direcciones IP durante la configuracin inicial. Las direcciones reservadas estn diseadas para utilizarse con moderacin para las direcciones individuales.
Planificacin de mltiples servidores DHCP

Si desea configurar ms de un servidor DHCP para que administre las direcciones IP, tenga en cuenta lo siguiente:
Divida la agrupacin de direcciones IP de modo que cada servidor sea responsable de un rango de direcciones y no se solapen las responsabilidades. Elija NIS+ como almacn de datos, si est disponible. Si no lo est, seleccione los archivos de texto y especifique un directorio compartido para la ruta absoluta al almacn de datos. El almacn de datos de archivos binarios no se puede compartir. Configure cada servidor por separado para que la propiedad de las direcciones se asigne correctamente y las macros del servidor se puedan crear automticamente. Configure los servidores para analizar las opciones y las macros de la tabla dhcptab a intervalos especficos de modo que los servidores utilicen la informacin ms reciente. Puede utilizar el Administrador de DHCP para programar la lectura automtica de dhcptab, tal como se describe en Personalizacin de las opciones de rendimiento del servidor DHCP en la pgina 379. Asegrese de que todos los clientes puedan acceder a todos los servidores DHCP de modo que se complementen. Un cliente con un permiso de direccin IP vlido podra tratar de verificar su configuracin o ampliar el permiso cuando no se puede acceder al servidor que posee dicha direccin de cliente. Otro servidor puede responder al cliente si el cliente ha intentado contactar con el servidor principal durante 20 segundos. Si un cliente solicita una direccin IP especfica y el servidor que posee dicha direccin no est disponible, uno de los servidores administrar la solicitud. En ese caso, el cliente no recibe la direccin solicitada. El cliente recibe una direccin IP que posee el servidor DHCP que responde.
345
Planificacin de la configuracin DHCP de las redes remotas
Planificacin de la configuracin DHCP de las redes remotas

Tras la configuracin DHCP inicial, puede colocar direcciones IP en redes remotas en la administracin DHCP. Sin embargo, dado que los archivos del sistema no se guardan de forma local en el servidor, el Administrador de DHCP y dhcpconfig no pueden buscar informacin para proporcionar los valores predeterminados, de modo que el usuario debe facilitar la informacin. Antes de intentar configurar una red remota, asegrese de contar con la siguiente informacin:

La direccin IP de la red remota. La mscara de subred de la red remota. Esta informacin se puede obtener de la tabla netmasks del servicio de nombres. Si la red utiliza archivos locales, busque /etc/netmasks en un sistema de la red. Si la red utiliza NIS+, utilice el comando niscat netmasks.org_dir. Si la red utiliza NIS, utilice el comando ypcat -k netmasks.byaddr. Asegrese de que la tabla netmasks contenga toda la informacin de topologa de todas las subredes que desee administrar. El tipo de red. Los clientes se conectan a la red mediante una conexin de red de rea local (LAN) o un Protocolo punto a punto (PPP). Informacin de encaminamiento. Los clientes pueden utilizar el descubrimiento de encaminadores? Si no, debe determinar la direccin IP de un encaminador que puedan utilizar. El dominio NIS y los servidores NIS, si es preciso. El dominio NIS+ y los servidores NIS+, si es preciso.
Consulte Cmo agregar redes DHCP en la pgina 385 para aprender a agregar redes DHCP.
Seleccin de la herramienta para configurar DHCP

Cuando haya reunido la informacin y planificado el servicio DHCP, podr configurar un servidor DHCP. Puede utilizar el Administrador de DHCP o la utilidad de lnea de comandos dhcpconfig para configurar un servidor. El Administrador de DHCP permite seleccionar opciones y especificar datos que se utilizan para crear dhcptab y las tablas de red que utiliza el servidor DHCP. La utilidad dhcpconfig requiere el uso de las opciones de lnea de comandos para especificar los datos.
Funciones del Administrador de DHCP

El Administrador de DHCP, una herramienta de GUI basada en la tecnologa de JavaTM, proporciona un asistente para la configuracin de DHCP. El asistente de configuracin se inicia automticamente la primera vez que ejecuta el Administrador de DHCP en un sistema que no est configurado como servidor DHCP. El asistente para la configuracin de DHCP
proporciona una serie de cuadros de dilogo que le solicitan la informacin bsica necesaria para configurar un servidor: formato del almacn de datos, directiva de permiso, dominios y servidores DNS/NIS/NIS+ y direcciones de encaminadores. El asistente obtiene parte de la informacin de los archivos del sistema, y el usuario slo debe confirmar que la informacin sea correcta o corregirla si es preciso. A medida que avanza por los cuadros de dilogo y aprueba la informacin, el daemon del servidor DHCP se inicia en el sistema del servidor. A continuacin, se le solicita que inicie el asistente para agregar direcciones para configurar las direcciones IP para la red. Inicialmente slo se configura la red del servidor para DHCP y se asignan los valores predeterminados a las dems opciones del servidor. Puede volver a ejecutar el Administrador de DHCP una vez completada la configuracin inicial para agregar redes y modificar las dems opciones del servidor. Consulte Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP en la pgina 349 para obtener ms informacin sobre el asistente para la configuracin de DHCP. Consulte Acerca del Administrador de DHCP en la pgina 362 para obtener ms informacin acerca del Administrador de DHCP.
Funciones de dhcpconfig
La utilidad dhcpconfig admite opciones que permiten configurar y desconfigurar un servidor DHCP, as como convertir a un nuevo almacn de datos e importar/exportar datos de otros servidores DHCP. Si configura un servidor DHCP mediante la utilidad dhcpconfig, sta obtiene informacin de los archivos del sistema que se describen en Actualizacin de archivos de sistema y tablas de mscara de red en la pgina 336. No puede ver y confirmar la informacin que se obtiene de los archivos del sistema del mismo modo que con el Administrador de DHCP. Por tanto, es importante que los archivos del sistema estn actualizados antes de ejecutar dhcpconfig. Tambin puede utilizar las opciones de la lnea de comandos para modificar los valores que obtendra dhcpconfig de los archivos del sistema de modo predeterminado. El comando dhcpconfig puede utilizarse en secuencias. Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin.
Comparacin del Administrador de DHCP y dhcpconfig

En la tabla siguiente se resumen las diferencias entre las dos herramientas de configuracin del servidor.
347
TABLA 134 Funciones
Comparacin del Administrador de DHCP y el comando dhcpconfig

Administrador de DHCP dhcpconfig con opciones
Informacin de red que se obtiene del sistema. Configuracin rpida.
Permite ver la informacin obtenida de los archivos del sistema, y cambiarla si es preciso. Acelera el proceso de configuracin al omitir la solicitud de opciones de servidor que no son imprescindibles y utilizar los valores predeterminados para ellas. Puede cambiar las opciones no imprescindibles tras la configuracin inicial.
Puede especificar la informacin de red con las opciones de la lnea de comandos. Proceso de configuracin ms rpido, pero es posible que necesite especificar los valores de mltiples funciones.
El Captulo 14, Configuracin del servicio DHCP (tareas) incluye los procedimientos que puede seguir para configurar el servidor con el Administrador de DHCP o la utilidad dhcpconfig.
348
14
C A P T U L O
1 4
Configuracin del servicio DHCP (tareas)
Al configurar el servicio DHCP en la red, se configura e inicia el primer servidor DHCP. Ms adelante, puede agregar otros servidores DHCP, que accedan a los mismos datos desde una ubicacin compartida si el almacn de datos admite datos compartidos. En este captulo se describen las tareas que permiten configurar el servidor DHCP y colocar las redes y sus direcciones IP asociadas en la administracin de DHCP. En este capitulo tambin se explica cmo anular la configuracin de un servidor DHCP. Cada tarea incluye un procedimiento para ayudarle a realizar la tarea en el Administrador de DHCP y un procedimiento para la tarea equivalente con la utilidad dhcpconfig. Este captulo contiene la informacin siguiente:
Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP en la pgina 349 Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig en la pgina 357
Si tiene problemas para configurar el servicio DHCP, consulte el Captulo 17, Solucin de problemas de DHCP (referencia). Despus de configurar el servicio DHCP, consulte el Captulo 15, Administracin de DHCP (tareas) para obtener informacin sobre la administracin del servicio DHCP.
Configuracin y desconfiguracin de un servidor DHCP utilizando el Administrador de DHCP

En esta seccin se incluyen los procedimiento para configurar y desconfigurar un servidor DHCP con el Administrador de DHCP. Debe ejecutar un sistema de ventanas X como CDE o GNOME para utilizar el Administrador de DHCP. El Administrador de DHCP se puede ejecutar como superusuario con el comando /usr/sadm/admin/bin/dhcpmgr. Consulte Acerca del Administrador de DHCP
349
en la pgina 362 para obtener informacin general sobre la utilidad. Consulte Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP) en la pgina 367 para obtener informacin ms detallada sobre la ejecucin del Administrador de DHCP. Al ejecutar el Administrador de DHCP en un servidor que no est configurado para DHCP, se muestra la siguiente pantalla. Puede especificar si desea configurar un servidor DHCP o un agente de reenvo BOOTP.
FIGURA 141
Cuadro de dilogo de seleccin de configuracin del servidor en el Administrador de DHCP
Configuracin de servidores DHCP

Al configurar un servidor DHCP, el Administrador de DHCP inicia el asistente para la configuracin de DHCP, que le solicita la informacin necesaria para configurar el servidor. En la figura siguiente se muestra la pantalla inicial del asistente.
350
FIGURA 142
Pantalla inicial del asistente para la configuracin de DHCP
Cuando haya completado la informacin que solicita el asistente, el Administrador de DHCP crear los elementos que se enumeran en la siguiente tabla.
TABLA 141 Elemento
Elementos creados durante la configuracin del servidor DHCP

Descripcin Contenido
Archivo de configuracin del servicio, /etc/inet/dhcpsvc.conf
Registra las palabras clave y los valores para Ubicacin y tipo de almacn de datos, as como las las opciones de configuracin del servidor. opciones que se utilizan con in.dhcpd para iniciar el daemon DHCP cuando arranca el sistema. No edite este archivo manualmente. Debe utilizar dhcpmgr o dhcpconfig para modificar la informacin de configuracin de DHCP. El Administrador de DHCP crea una tabla dhcptab si no existe. Macros y opciones con valores asignados. Opcin UTCoffst con cantidad de segundos asignada.
tabla dhcptab
Macro de configuracin regional Contiene el desfase en segundos de la zona (opcional), denominada Locale horaria local de la Hora universal (UTC).
Captulo 14 Configuracin del servicio DHCP (tareas)
351
TABLA 141 Elemento
Elementos creados durante la configuracin del servidor DHCP

Descripcin
(Continuacin)
Contenido
Macro de servidor, cuyo nombre Contiene opciones cuyos valores estn coincide con el nombre del nodo determinados por la entrada del del servidor administrador que ha configurado el servidor DHCP. Las opciones se aplican a todos los clientes que utilizan las direcciones que posee el servidor.
La macro Locale ms las siguientes opciones: Timeserv, configurada para puntar a la direccin IP principal del servidor. LeaseTim, configurada con la cantidad de segundos para los permisos. LeaseNeg, si ha seleccionado permisos negociables. DNSdmain y DNSserv, si se ha configurado DNS. Hostname, que no debe tener un valor asignado. La presencia de esta opcin indica que el nombre de host debe obtenerse del servicio de nombres.
La macro de direccin de red, cuyo nombre coincide con la direccin de red de la red del cliente
Contiene opciones cuyos valores estn determinados por la entrada del administrador que ha configurado el servidor DHCP. Las opciones se aplican a todos los clientes que residen en la red especificada por el nombre de la macro.
Las siguientes opciones: Subnet, configurada con la mscara de subred para la subred local.
Router, configurada con la direccin IP de un encaminador, o RDiscvyF, para que el cliente utilice el descubrimiento de encaminadores. Broadcst, configurada con la direccin IP de emisin. Esta opcin slo est presente si la red no es una red de punto a punto. MTU, para la unidad de transmisin mxima NISdmain y NISservs, si se ha configurado NIS. NIS+dom y NIS+serv, si se ha configurado NIS+.
Tabla de red para la red
Se crea una tabla vaca hasta que se crean las No hay contenido hasta que no se agregan direcciones IP para la red. direcciones IP.
352
Cmo configurar un servidor DHCP (Administrador de DHCP)

Asegrese de leer el Captulo 13, Planificacin del servicio DHCP (tareas) antes de configurar el servidor DHCP. En concreto, siga las instrucciones de Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) en la pgina 338 para llevar a cabo las siguientes tareas:

Antes de empezar
Seleccionar el sistema que se va a utilizar como servidor DHCP. Tomar decisiones sobre el almacn de datos, la directiva de permisos y la informacin de encaminadores.
1 2
Convirtase en superusuario en el sistema del servidor. Inicie el Administrador de DHCP.

#/usr/sadm/admin/bin/dhcpmgr &
Elija la opcin Configure as DHCP Server. Se abrir el asistente DHCP Configuration Wizard, que le ayudar a configurar el servidor.
Seleccione las opciones o escriba la informacin que se le solicita, basndose en las decisiones que ha tomado en la fase de planificacin. Si tiene problemas, haga clic en Help en la ventana del asistente para abrir el explorador web y ver la ayuda del asistente DHCP Configuration Wizard.
Haga clic en Finish para completar la configuracin del servidor cuando haya terminado de especificar la informacin solicitada. En Start Address Wizard, haga clic en Yes para configurar las direcciones IP para el servidor. El asistente Add Addresses to Network permite especificar qu direcciones colocar bajo el control de DHCP.
Responda a los indicadores de acuerdo con las decisiones que tom en la fase de planificacin. Consulte Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 341 para obtener ms informacin. Si tiene problemas, haga clic en Help en la ventana del asistente para abrir el explorador web y ver la ayuda del asistente Add Addresses to Network.
Revise las selecciones y haga clic en Finish para agregar las direcciones IP a la tabla de red. La tabla de red se actualiza con los registros para cada direccin del rango especificado.
353
Vase tambin
Puede agregar ms redes al servidor DHCP con el asistente Network Wizard, tal como se describe en Cmo agregar redes DHCP en la pgina 385.
Configuracin de los agentes de reenvo de BOOTP

Al configurar un agente de reenvo de BOOTP, el Administrador de DHCP lleva a cabo las siguientes acciones:
Solicita la direccin IP de uno o ms servidores DHCP a los que se deben reenviar las solicitudes. Almacena la configuracin necesaria para el servicio de reenvo de BOOTP.
La figura siguiente muestra la pantalla que aparece al seleccionar la configuracin de un agente de reenvo de BOOTP.
FIGURA 143
Configure el cuadro de dilogo BOOTP Relay en el Administrador de DHCP
Cmo configurar un agente de reenvo de BOOTP (Administrador de DHCP)

Lea el Captulo 13, Planificacin del servicio DHCP (tareas) antes de configurar el agente de reenvo de BOOTP. En concreto, consulte Seleccin de un host para ejecutar el servicio DHCP en la pgina 338 para obtener ayuda para seleccionar el sistema que se va a utilizar. Convirtase en superusuario en el sistema del servidor.
Antes de empezar
1
354
Inicie el Administrador de DHCP.

Si el sistema no se ha configurado como servidor DHCP o agente de reenvo de BOOTP, se abrir el asistente DHCP Configuration Wizard. Si el sistema ya se ha configurado como servidor DHCP, primer debe desconfigurar el servidor. Consulte Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP en la pgina 355.
3
Seleccione Configure as BOOTP Relay. Se abrir el cuadro de dilogo Configure BOOTP Relay.
Escriba la direccin IP o el nombre de host de uno o ms servidores DHCP y haga clic en Add. Los servidores DHCP especificados deben configurarse para admitir las solicitudes BOOTP o DHCP recibidas por este agente de reenvo de BOOTP.
Haga clic en OK para salir del cuadro de dilogo. Observe que el Administrador de DHCP slo ofrece el men File para salir de la aplicacin y el men Service para administrar el servidor. Las opciones de men desactivadas slo son tiles en un servidor DHCP.
Desconfiguracin de servidores DHCP y agentes de reenvo de BOOTP

Al desconfigurar un servidor DHCP o un agente de reenvo de BOOTP, el Administrador de DHCP lleva a cabo las acciones siguientes:

Detiene el proceso del daemon DHCP (in.dhpcd). Elimina el archivo /etc/inet/dhcpsvc.conf, que registra informacin sobre el inicio del daemon y la ubicacin del almacn de datos.
La figura siguiente muestra la pantalla que aparece al seleccionar la desconfiguracin de un servidor DHCP.
355
FIGURA 144
Cuadro de dilogo Unconfigure Service del Administrador de DHCP
Datos DHCP en un servidor desconfigurado

Al desconfigurar un servidor DHCP, debe decidir qu va a hacer con la tabla dhcptab y las tablas de red DHCP. Si los datos estn repartidos en varios servidores, no debe eliminar la tabla dhcptab ni las tablas de red DHCP. Si se eliminan, DHCP no se podr utilizar en la red. Los datos se pueden compartir mediante NIS+ o en sistemas de archivos locales exportados. El archivo /etc/inet/dhcpsvc.conf registra el almacn de datos utilizado y su ubicacin. Puede desconfigurar un servidor DHCP pero dejar los datos intactos si no selecciona ninguna de las opciones para eliminar datos. Si desconfigura el servidor y deja los datos intactos, desactivar el servidor DHCP. Si desea que otro servidor DHCP sea propietario de las direcciones IP, debe mover los datos DHCP al otro servidor DHCP. Los datos deben moverse antes de desconfigurar el servidor actual. Consulte Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) en la pgina 437 para obtener ms informacin. Si est seguro de que desea eliminar los datos, puede seleccionar una opcin para eliminar la tabla dhcptab y las tablas de red. Si ha generado nombres de cliente para las direcciones DHCP, tambin puede eliminar dichas entradas de la tabla de host. Las entradas de nombre de cliente se pueden eliminar de DNS, /etc/inet/hosts o NIS+. Antes de desconfigurar un agente de reenvo de BOOTP, asegrese de que no haya clientes que dependan de este agente para reenviar solicitudes a un servidor DHCP.
356
Configuracin y desconfiguracin de un servidor DHCP mediante los comandos dhcpconfig
Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (Administrador de DHCP)

Convirtase en superusuario. Inicie el Administrador de DHCP.
1 2
En el men Service, elija Unconfigure. Aparecer el cuadro de dilogo Desconfigurar servicio. Si el servidor es un agente de reenvo de BOOTP, el cuadro de dilogo permite confirmar la intencin de desconfigurar el agente de reenvo. Si el servidor es un servidor DHCP, debe decidir qu hacer con los datos DHCP y realizar las selecciones en el cuadro de dilogo. Consulte la Figura 144.
(Opcional) Seleccione las opciones para eliminar los datos. Si el servidor utiliza datos compartidos mediante NIS+ o en archivos compartidos mediante NFS, no seleccione ninguna opcin para eliminar los datos. Si el servidor no utiliza datos compartidos, seleccione una o ambas opciones para eliminar los datos. Consulte Datos DHCP en un servidor desconfigurado en la pgina 356 para obtener ms informacin acerca de la eliminacin de datos.
Haga clic en Aceptar para desconfigurar el servidor. Se cerrarn el cuadro de dilogo Desconfigurar servicio y el Administrador de DHCP.

En esta seccin se incluyen los procedimientos que debe seguir para configurar y desconfigurar un servidor DHCP o un agente de reenvo de BOOTP utilizando dhcpconfig con las opciones de lnea de comandos.
357
Antes de empezar
Cmo configurar un servidor DHCP (dhcpconfig -D)

Asegrese de leer el Captulo 13, Planificacin del servicio DHCP (tareas) antes de configurar el servidor DHCP. En concreto, siga las instrucciones de Toma de decisiones para la configuracin del servidor DHCP (mapa de tareas) en la pgina 338 para llevar a cabo las siguientes tareas:

Seleccionar el sistema que se va a utilizar como servidor DHCP. Tomar decisiones sobre el almacn de datos, la directiva de permisos y la informacin de encaminadores.
1 2
Inicie sesin en el sistema en el que desee configurar el servidor DHCP. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Configure el servidor DHCP escribiendo un comando con el siguiente formato:

#/usr/sbin/dhcpconfig -D -r datastore -p location
almacn_datos es uno de los siguientes: SUNWfiles , SUNWbinfiles o SUNWnisplus. La ubicacin es la ubicacin que depende del almacn de datos donde se desea almacenar los datos DHCP. Para SUNWfiles y SUNWbinfiles, la ubicacin debe ser un nombre de ruta absoluto. Para SUNWnisplus, la ubicacin debe ser un directorio NIS+ especificado por completo. Por ejemplo, puede escribir un comando similar al siguiente:
dhcpconfig -D -r SUNWbinfiles -p /var/dhcp
La utilidad dhcpconfig utiliza los archivos de red y los archivos de sistema del host para determinar los valores que se utilizan para configurar el servidor DHCP. Consulte la pgina del comando man dhcpconfig(1M) para obtener informacin sobre las opciones adicionales para el comando dhcpconfig que permiten modificar los valores predeterminados.
4
Agregue una o ms redes al servicio DHCP. Consulte Cmo agregar una red DHCP (dhcpconfig) en la pgina 387 para conocer el procedimiento para agregar una red.
358
Cmo configurar un agente de reenvo de BOOTP (dhcpconfig -R)

Seleccione el sistema que desee utilizar como agente de reenvo de BOOTP, utilizando los requisitos que se mencionan en Seleccin de un host para ejecutar el servicio DHCP en la pgina 338. Inicie sesin en el servidor que desee configurar como agente de reenvo de BOOTP. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Antes de empezar
1 2
Configure el agente de reenvo de BOOTP escribiendo un comando con el siguiente formato:

# /usr/sbin/dhcpconfig -R server-addresses
Especifique una o ms direcciones IP de los servidores DHCP a los que desea reenviar las solicitudes. Si especifica ms de una direccin, seprelas con comas. Por ejemplo, puede escribir un comando similar al siguiente:
/usr/sbin/dhcpconfig -R 192.168.1.18,192.168.42.132
Cmo desconfigurar un servidor DHCP o un agente de reenvo de BOOTP (dhcpconfig -U)

Inicie sesin en el servidor DHCP o el sistema de agente de reenvo de BOOTP que desee desconfigurar. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Captulo 14 Configuracin del servicio DHCP (tareas) 359
Desconfigure el servidor DHCP o el agente de reenvo de BOOTP:

# /usr/sbin/dhcpconfig -U
Si el servidor no utiliza datos compartidos, tambin puede utilizar la opcin -x para eliminar dhcptab y las tablas de red. Si el servidor utiliza datos compartidos, no utilice la opcin -x. La opcin -h puede utilizarse para eliminar nombres de host de la tabla host. Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre las opciones dhcpconfig. Consulte Datos DHCP en un servidor desconfigurado en la pgina 356 para obtener ms informacin acerca de la eliminacin de datos.
360
15
C A P T U L O
1 5
Administracin de DHCP (tareas)
En este captulo se describen las tareas que le pueden ser de utilidad durante la administracin del servicio Solaris DHCP. El captulo incluye las tareas para el servidor, el agente de reenvo de BOOTP y el cliente. Cada tarea incluye un procedimiento para ayudarle a realizar la tarea en el Administrador de DHCP y un procedimiento para desempear una tarea equivalente con las utilidades de lnea de comandos de DHCP. Las utilidades de lnea de comandos de DHCP se describen con mayor detalle en las pginas de comando man. Antes de continuar con este captulo, debe haber completado la configuracin inicial del servicio DHCP y la red inicial. El Captulo 14, Configuracin del servicio DHCP (tareas) trata sobre la configuracin de DHCP. Este captulo contiene la informacin siguiente:

Acerca del Administrador de DHCP en la pgina 362 Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365 Cmo iniciar y detener el servicio DHCP en la pgina 366 Servicio DHCP y Utilidad de gestin de servicios en la pgina 368 Modificacin de las opciones del servicio DHCP (mapa de tareas) en la pgina 369 Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas) en la pgina 382 Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392 Uso de direcciones IP en el servicio DHCP (mapa de tareas) en la pgina 395 Uso de macros DHCP (mapa de tareas) en la pgina 412 Uso de opciones DHCP (mapa de tareas) en la pgina 422 Instalacin en red de Solaris con el servicio DHCP en la pgina 431 Arranque remoto y clientes de arranque sin disco (mapa de tareas) en la pgina 432 Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 434 Conversin a un nuevo almacn de datos DHCP en la pgina 434 Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas) en la pgina 437
361
Acerca del Administrador de DHCP

El Administrador de DHCP es una interfaz grfica de usuario (GUI) que puede utilizar para llevar a cabo las tareas de administracin en el servicio DHCP.
Ventana del Administrador de DHCP

El aspecto de la ventana del Administrador de DHCP depende del modo en que se configura el servidor DHCP en el sistema en el que se ejecuta el Administrador de DHCP. El Administrador de DHCP utiliza una ventana con fichas cuando el sistema est configurado como servidor DHCP. Debe seleccionar una ficha para el tipo de informacin con el que desee trabajar. El Administrador de DHCP incluye las siguientes fichas:
Ficha Direcciones: enumera todas las redes y direcciones IP que se incluyen durante la administracin de DHCP. En la ficha Direcciones, puede trabajar con las redes y direcciones IP. Puede agregar o eliminar elementos individualmente o por bloques. Tambin puede modificar las propiedades de las redes o direcciones IP individuales o realizar las mismas modificaciones de propiedades de forma simultnea para un bloque de direcciones. Al iniciar el Administrador de DHCP, se abre la ficha Direcciones en primer lugar. Ficha Macros: enumera todas las macros disponibles de la tabla de configuracin de DHCP (dhcptab) y las opciones que contienen las macros. En la ficha Macros, puede crear o eliminar macros. Tambin puede modificar macros agregando opciones y asignndoles valores. Ficha Opciones: enumera todas las opciones definidas para este servidor DHCP. Las opciones que se enumeran en esta ficha no son las opciones estndar definidas en el protocolo DHCP. Las opciones son extensiones de las opciones estndar, y tienen la clase Extendidas, Distribuidor o Sitio. Las opciones estndar no se pueden modificar de ningn modo, por lo que no se incluyen aqu.
En la figura siguiente se muestra el aspecto que puede tener el Administrador de DHCP al iniciarlo en un servidor DHCP.
362
FIGURA 151
Administrador de DHCP en un sistema de servidor DHCP
Cuando el servidor se configura como agente de reenvos de BOOTP, la ventana del Administrador de DHCP no incluye estas fichas. El agente de reenvo de BOOTP no necesita la misma informacin. Slo puede modificar las propiedades del agente de reenvo de BOOTP y detener o reiniciar el daemon DHCP con el Administrador de DHCP. En la figura siguiente se muestra el aspecto que podra tener el Administrador de DHCP en un sistema configurado como agente de reenvo de BOOTP.
FIGURA 152
Administrador de DHCP en un agente de reenvo de BOOTP
Captulo 15 Administracin de DHCP (tareas)
363
Mens del Administrador de DHCP

Los mens del Administrador de DHCP incluyen los siguientes elementos:

File: Cierra el Administrador de DHCP. Edit: Lleva a cabo tareas de administracin para redes, direcciones, macros y opciones. View: Cambia el aspecto de la ficha seleccionada. Service: Administra el daemon de DHCP y el almacn de datos. Help: Abre el explorador web y muestra ayuda para el Administrador de DHCP.
Cuando el Administrador de DHCP se ejecuta en un agente de reenvo de BOOTP, los mens Edit y View estn desactivados. Todas las tareas de administracin de DHCP se llevan a cabo mediante los mens Edit y Service. Los comandos del men Edit permiten crear, eliminar y modificar elementos de la ficha seleccionada. Los elementos pueden incluir redes, direcciones, macros y opciones. Si est seleccionada la ficha Addresses, el men Edit tambin enumera los asistentes. Los asistentes son conjuntos de cuadros de dilogo que ayudan a crear redes y varias direcciones IP. El men Service enumera los comandos que permiten administrar el daemon de DHCP. En el men Service puede llevar a cabo las tareas siguientes:

Iniciar y detener el daemon de DHCP. Habilitar e inhabilitar el daemon de DHCP. Modificar la configuracin del servidor. Desconfigurar el servidor. Convertir el almacn de datos. Exportar e importar datos en el servidor.
Cmo iniciar y detener el Administrador de DHCP

Debe ejecutar el Administrador de DHCP en un sistema de servidor DHCP como superusuario. Si necesita ejecutar remotamente el Administrador de DHCP, puede enviar la visualizacin al sistema utilizando la funcin de visualizacin remota de ventanas X.
Cmo iniciar y detener el Administrador de DHCP

Convirtase en superusuario en el sistema de servidor DHCP.
364
Configuracin del acceso de usuario a los comandos de DHCP
(Opcional) Si se registra remotamente en el sistema de servidor DHCP, visualice el Administrador de DHCP en el sistema local del modo siguiente. a. Escriba lo siguiente en el sistema local:
# xhost +server-name
b. Escriba lo siguiente en el sistema de servidor DHCP remoto:

# DISPLAY=local-hostname;export DISPLAY 3
Inicie el Administrador de DHCP.

# /usr/sadm/admin/bin/dhcpmgr &
Se abrir la ventana del Administrador de DHCP. Si el servidor se configura como servidor DHCP, la ventana muestra la ficha Direcciones. Si el servidor se configura como agente de reenvo de BOOTP, la ventana no incluir ninguna ficha.
4
Para detener el Administrador de DHCP, elija Exit en el men File. Se cerrar la ventana del Administrador de DHCP.
Configuracin del acceso de usuario a los comandos de DHCP

De modo predeterminado, slo el usuario root o el superusuario pueden ejecutar los comandos dhcpconfig, dhtadm y pntadm. Si desea que los usuarios que no sean root puedan utilizar los comandos, puede configurar el control de acceso basado en roles (RBAC) para dichos comandos. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Las siguientes pginas de comando man tambin pueden resultarle tiles: rbac(5), exec_attr(4) y user_attr(4). El procedimiento siguiente explica cmo asignar el perfil de administracin de DHCP, que permite al usuario ejecutar los comandos DHCP.
Cmo conceder a los usuarios acceso a los comandos de DHCP

Asgnese los privilegios de superusuario en el sistema del servidor DHCP.
Captulo 15 Administracin de DHCP (tareas) 365
Cmo iniciar y detener el servicio DHCP
Edite el archivo /etc/user_attr para agregar una entrada con el siguiente formato. Agregue una entrada para cada usuario o rol que deba administrar el servicio DHCP.
username::::type=normal;profiles=DHCP Management
Por ejemplo, para el usuario ram, debe agregar la siguiente entrada: ram::::type=normal;profiles=DHCP Management

Esta seccin describe cmo iniciar y detener el servicio DHCP utilizando el Administrador de DHCP y el comando dhcpconfig. El servicio DHCP tambin se puede iniciar y detener utilizando los comandos de la Utilidad de gestin de servicios (SMF). Consulte Servicio DHCP y Utilidad de gestin de servicios en la pgina 368 para obtener ms informacin sobre el uso de los comandos de SMF con el servicio DHCP. Para iniciar y detener el servicio DHCP, es preciso llevar a cabo varios niveles de accin para modificar el funcionamiento del daemon de DHCP. Debe comprender lo que significa cada accin para seleccionar el procedimiento correcto con el fin de obtener el resultado deseado. Se aplican las siguientes condiciones:
Los comandos para iniciar, detener y reiniciar afectan al daemon slo para la sesin actual. Por ejemplo, si detiene el servicio DHCP, el daemon finaliza pero se reinicia al rearrancar el sistema. La detencin del servicio no afecta a las tablas de datos DHCP. Puede utilizar los comandos del Administrador de DHCP o SMF para iniciar y detener temporalmente el servicio DHCP sin habilitar ni inhabilitar el servicio. Los comandos para activar y desactivar afectan al daemon para la sesin actual y para futuras sesiones. Si inhabilita el servicio DHCP, el daemon que est en ejecucin finaliza y no se inicia al rearrancar el servidor. Debe habilitar el daemon de DHCP para que se inicie automticamente al arrancar el sistema. Las tablas de datos de DHCP no se ven afectadas. Puede utilizar el Administrador de DHCP, el comando dhcpconfig o los comandos SMF para habilitar e inhabilitar el servicio DHCP. El comando unconfigure cierra el daemon, impide que el daemon se inicie al arrancar el sistema y permite eliminar las tablas de datos de DHCP. Puede utilizar el Administrador de DHCP o el comando dhcpconfig para desconfigurar el servicio DHCP. La desconfiguracin se describe en el Captulo 14, Configuracin del servicio DHCP (tareas) .
Nota Si un servidor tiene varias interfaces de red pero no desea proporcionar servicios DHCP
en todas las redes, consulte Especificacin de interfaces de redes para la supervisin de DHCP en la pgina 383. Los siguientes procedimientos le ayudarn a iniciar, detener, habilitar e inhabilitar el servicio DHCP.
Cmo iniciar y detener el servicio DHCP (Adminisitrador de DHCP)

Asgnese los privilegios de superusuario en el sistema del servidor DHCP. Inicie el Administrador de DHCP.
1 2
Seleccione una de las siguientes opciones:
Elija Start en el men Service para iniciar el servicio DHCP. Elija Stop en el men Service para detener el servicio DHCP. El daemon de DHCP se detiene hasta que se reinicia o se rearranca el sistema.
Elija Restart en el men Service para detener y reiniciar inmediatamente el servicio DHCP.
Cmo habilitar e inhabilitar el servicio DHCP (Administrador de DHCP)

En el Administrador de DHCP, siga uno de estos procedimientos:
Elija Enable en el men Service para configurar el daemon DHCP para el inicio automtico cuando se arranque el sistema. El servicio DHCP se inicia automticamente cuando se habilita.
Elija Disable en el men Service para evitar que el daemon DHCP se inicie automticamente cuando se arranque el sistema. El servicio DHCP se detiene inmediatamente cuando est inhabilitado.
Cmo habilitar e inhabilitar el servicio DHCP (dhcpconfig -S)

Inicie sesin en el sistema de servidor DHCP.
367
Servicio DHCP y Utilidad de gestin de servicios
Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Elija una de las siguientes opciones:
Para habilitar el servicio DHCP, escriba el comando siguiente:

# /usr/sbin/dhcpconfig -S -e
Para inhabilitar el servicio DHCP, escriba el comando siguiente:

# /usr/sbin/dhcpconfig -S -d
Servicio DHCP y Utilidad de gestin de servicios

La Utilidad de gestin de servicios (SMF) se describe en el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. El comando svcadm de SMF se puede utilizar para habilitar e iniciar el servidor DHCP, as como para inhabilitar y detener el servidor DHCP. Sin embargo, los comandos de SMF no se pueden utilizar para modificar las opciones del servicio DHCP que permiten configurar las herramientas de DHCP. En concreto, las opciones de servicio que se almacenan en el archivo /etc/dhcp/dhcpsvc.conf no se pueden configurar utilizando las herramientas de SMF. La tabla siguiente asigna los comandos de DHCP a los comandos de SMF equivalentes.
TABLA 151 Tarea
Comandos de SMF para tareas de servidor de DHCP

Comando de DHCP Comando de SMF
Habilitar el servicio DHCP inhabilitar el servicio DHCP
dhcpconfig -S -e
svcadm enable svc:/network/dhcp-server
dhcpconfig -S -d
svcadm disable svc:/network/dhcp-server
Iniciar el servicio Ninguna de DHCP slo para la sesin actual
svcadm enable -t svc:/network/dhcp-server
368
Modificacin de las opciones del servicio DHCP (mapa de tareas)
TABLA 151 Tarea
Comandos de SMF para tareas de servidor de DHCP

Comando de DHCP Comando de SMF
(Continuacin)
Detener el servicio de DHCP para la sesin actual Reiniciar el servicio de DHCP
Ninguna
svcadm disable -t svc:/network/dhcp-server
dhcpconfig -S -r
svcadm restart svc:/network/dhcp-server

Puede cambiar los valores de algunas funciones adicionales del servicio DHCP. Es posible que no haya podido hacerlo durante la configuracin inicial del Administrador de DHCP. Para cambiar las opciones del servicio, puede utilizar el cuadro de dilogo Modify Service Options del Administrador de DHCP. Tambin puede especificar las opciones con el comando dhcpconfig. El siguiente mapa de tareas muestra las tareas relativas a las opciones de servicio y los procedimientos que se deben seguir.
Cambiar opciones de registro.
Habilita o inhabilita el registro, y selecciona una utilidad syslog para utilizar para el registro de transacciones DHCP.
Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) en la pgina 373 Cmo generar mensajes de registro DHCP detallados (lnea de comandos) en la pgina 373 Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) en la pgina 374 Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos) en la pgina 375 Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375
369
Tarea
Descripcin
Cambiar opciones de actualizacin de DNS.
Habilita o inhabilita la funcin del Cmo activar la actualizacin de DNS dinmica para servidor de agregar entradas de DNS los clientes DHCP en la pgina 377 dinmicamente para los clientes que proporcionan un nombre de host. Determina el tiempo mximo que debe dedicar el servidor a intentar actualizar el DNS. Habilita o inhabilita la posibilidad del servidor DHCP de determinar si una direccin IP no est siendo utilizada antes de ofrecer la direccin a un cliente. Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381 Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP) en la pgina 380 Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos) en la pgina 381
Habilitar o inhabilitar la deteccin de direcciones IP duplicadas.
Cambiar las opciones para la lectura Habilita o inhabilita la lectura de informacin de configuracin del automtica de dhcptab a intervalos servidor DHCP. concretos, o cambia el intervalo entre lecturas. Cambiar el nmero de saltos del agente de reenvo. Aumenta o disminuye el nmero de redes que puede atravesar una solicitud antes de que el daemon DHCP la coloque. Aumenta o disminuye la cantidad de segundos durante los que el servicio DHCP reserva una direccin IP ofrecida antes de ofrecerla a un nuevo cliente.
Cambiar el tiempo de almacenamiento en cach de una oferta de direccin IP.
La figura siguiente muestra el cuadro de dilogo Modify Service Options del Administrador de DHCP.
370
FIGURA 153
Cuadro de dilogo Modify Service Options del Administrador de DHCP
Cmo cambiar las opciones de registro de DHCP

El servicio DHCP puede registrar mensajes de servicio DHCP y transacciones de DHCP en syslog. Consulte las pginas de comando man syslogd(1M) y syslog.conf(4) para obtener ms informacin sobre syslog. Los mensajes del servicio DHCP registrados en syslog incluyen:
Mensajes de error, que indican las condiciones que impiden al servicio DHCP cumplir los requisitos de un cliente o usuario. Advertencias y avisos, que indican condiciones anmalas pero no impiden que el servicio DHCP cumpla una solicitud.
Puede aumentar la cantidad de informacin que se registra utilizando la opcin detallada del daemon DHCP. El resultado del mensaje detallado puede ayudarle a resolver problemas relativos a DHCP. Consulte Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP) en la pgina 373.
371
Otra tcnica de resolucin de problemas til es el registro de transacciones. Las transacciones proporcionan informacin sobre cualquier intercambio entre un servidor DHCP y reenvo de BOOTP y los clientes. Las transacciones DHCP incluyen los siguientes tipos de mensajes:

ASSIGN: asignacin de direccin IP ACK: el servidor reconoce que el cliente acepta la direccin IP ofrecida, y enva los parmetros de configuracin EXTEND: ampliacin del permiso RELEASE: liberacin de direccin IP DECLINE: el cliente rechaza la asignacin de direccin INFORM: el cliente solicita parmetros de configuracin de red pero no una direccin IP NAK: el servidor no reconoce la solicitud de un cliente para utilizar una direccin IP utilizada previamente ICMP_ECHO: el servidor detecta que la direccin IP potencial est siendo utilizada por otro host
Las transacciones de reenvo de BOOTP incluyen los siguientes tipos de mensajes:

RELAY-CLNT: el mensaje se reenva del cliente DHCP a un servidor DHCP RELAYSRVR: el mensaje se reenva del servidor DHCP al cliente DHCP
El registro de transacciones DHCP est inhabilitado de modo predeterminado. Si est activado, el registro de transacciones DHCP utiliza la utilidad local0 de syslog de modo predeterminado. Los mensajes de transacciones DHCP se generan con un nivel de gravedad de syslog de notice. Este nivel de seguridad hace que las transacciones DHCP se registren en el archivo en el que se registran otros avisos del sistema. Sin embargo, dado que se utiliza la utilidad local, los mensajes de transacciones DHCP se pueden registrar por separado de otros avisos. Para registrar los mensajes de transacciones por separado, debe editar el archivo syslog.conf para especificar un archivo de registro distinto. Consulte la pgina de comando man syslog.conf(4) para obtener ms informacin sobre el archivo syslog.conf. Puede habilitar o inhabilitar el registro de transacciones, y especificar una utilidad syslog diferente, desde local0 hasta local7, tal como se describe en Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP) en la pgina 374. En el archivo syslog.conf del sistema del servidor, tambin puede indicar a syslogd que almacene los mensajes de transacciones DHCP en un archivo separado. Consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375 para obtener ms informacin.
372
Cmo generar mensajes de registro DHCP detallados (Administrador de DHCP)

En el Administrador de DHCP, elija Modify en el men Service. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Se abrir el cuadro de dialogo Modify Service Options con la ficha Options. Consulte la Figura 153.
2 3
Seleccione Verbose Log Messages. Seleccione Restart Server. La opcin Restart Server se encuentra en la parte inferior del cuadro de dilogo. Haga clic en Aceptar. El daemon se ejecuta en modo detallado para esta sesin y cada sesin subsiguiente hasta que se restablece esta opcin. El modo detallado puede reducir la eficacia del daemon debido al tiempo que necesita para mostrar los mensajes.
Cmo generar mensajes de registro DHCP detallados (lnea de comandos)

Escriba el comando siguiente para establecer el modo detallado:

# /usr/sbin/dhcpconfig -P VERBOSE=true
La prxima vez que se inicie el servidor DHCP, se ejecutar en modo detallado hasta que se desactive dicho modo. Para desactivar el modo detallado, escriba el comando siguiente:
# /usr/sbin/dhcpconfig -P VERBOSE=
Este comando configura la palabra clave VERBOSE con ningn valor, lo que hace que se elimine la palabra clave del archivo de configuracin del servidor. El modo detallado puede reducir la eficacia del daemon debido al tiempo que necesita para mostrar los mensajes.
Cmo habilitar e inhabilitar el registro de transacciones DHCP (Administrador de DHCP)

Este procedimiento habilita e inhabilita el registro de transacciones para todas las sesiones de servidor DHCP subsiguientes.
En el Administrador de DHCP, elija Modify en el men Service. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Seleccione Log Transactions to Syslog Facility. Para inhabilitar el registro de transacciones, anule la seleccin de esta opcin.
(Opcional) Seleccione una utilidad local de 0 a 7 para utilizar para el registro de transacciones DHCP. De modo predeterminado, las transacciones DHCP se registran en la ubicacin en la que se registran los avisos del sistema, que depende de la configuracin de syslogd. Si desea que las transacciones DHCP se registren en un archivo independiente de los dems avisos, del sistema, consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375. El tamao de los archivos de mensajes puede aumentar rpidamente cuando est activado el registro de transacciones.
4 5
Seleccione Restart Server. Haga clic en Aceptar. El daemon registra las transacciones en la utilidad syslog seleccionada para esta sesin y cada sesin subsiguiente hasta que se inhabilita el registro.
374
Cmo habilitar e inhabilitar el registro de transacciones DHCP (lnea de comandos)

Elija uno de estos pasos:
Para habilitar el registro de transacciones DHCP, escriba el comando siguiente:

# /usr/sbin/dhcpconfig -P LOGGING_FACILITY=syslog-local-facility
syslog-local-facility es un nmero del 0 al 7. Si omite esta opcin, se utilizar 0. De modo predeterminado, las transacciones DHCP se registran en la ubicacin en la que se registran los avisos del sistema, que depende de la configuracin de syslogd. Si desea que las transacciones DHCP se registren en un archivo independiente de los dems avisos, del sistema, consulte Cmo registrar transacciones DHCP en un archivo syslog independiente en la pgina 375. El tamao de los archivos de mensajes puede aumentar rpidamente cuando est activado el registro de transacciones.
Para inhabilitar el registro de transacciones DHCP, escriba el comando siguiente:

# /usr/sbin/dhcpconfig -P LOGGING_FACILITY=
No se proporciona ningn valor para el parmetro.
Cmo registrar transacciones DHCP en un archivo syslog independiente

Adquiera la categora de superusuario o funcin equivalente en el sistema de servidores DHCP. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Un rol al que se asigna un perfil de administracin de DHCP podra no ser suficiente para esta tarea. El rol debe tener permiso para editar archivos syslog.
Edite el archivo /etc/syslog.conf en el sistema servidor para agregar una lnea con el formato siguiente:
localn.notice path-to-logfile
n es el nmero de utilidad de syslog especificado para el registro de transacciones, y ruta_archivo_registro es la ruta completa al archivo que se utilizar para registrar transacciones. Por ejemplo, puede agregar la lnea siguiente: local0.notice /var/log/dhcpsrvc Consulte la pgina de comando man syslog.conf(4) para obtener ms informacin sobre el archivo syslog.conf.
Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP
DNS proporciona servicios de nombre a direccin y de direccin a nombre para Internet. Una vez realizada una asignacin DNS, se puede alcanzar un sistema mediante su nombre de host o direccin IP. El sistema tambin se puede alcanzar desde fuera de su dominio. El servicio DHCP puede utilizar DNS de dos modos:
El servidor DHCP puede buscar el nombre de host asignado a una direccin IP que el servidor asigna al cliente. A continuacin, el servidor devuelve el nombre de host del cliente junto con el resto de informacin de configuracin del cliente. El servidor DHCP puede intentar realizar una asignacin de DNS en nombre de un cliente, si el servidor DHCP est configurado para actualizar DNS. El cliente puede proporcionar su propio nombre de host al solicitar el servicio DHCP. Si el servidor DHCP se configura para realizar actualizaciones de DNS, intenta actualizar el servidor DNS con el nombre de host sugerido del cliente. Si la actualizacin del DNS se realiza correctamente, el servidor DHCP devuelve el nombre de host solicitado al cliente. Si la actualizacin de DNS no se lleva a cabo correctamente, el servidor DHCP devuelve un nombre de host distinto al cliente.
Puede configurar el servicio DHCP para que actualice el servicio DNS para los clientes DHCP que proporcionen sus propios nombres de host. Para que funcione la actualizacin de DNS, el servidor DNS, el servidor DHCP y el cliente DHCP deben estar configurados correctamente. Asimismo, el nombre de host solicitado no debe estar en uso por otro sistema del dominio. La funcin de actualizacin de DNS del servidor DHCP funciona si se cumplen las siguientes condiciones:

El servidor DNS es compatible con RFC 2136. El software DNS se basa en BIND v8.2.2, parche 5 o posterior, tanto si se encuentra en el sistema servidor DHCP como en el sistema servidor DNS.
376
El servidor DNS se configura para aceptar las actualizaciones de DNS dinmicas del servidor DHCP. El servidor DHCP se configura para llevar a cabo actualizaciones de DNS dinmicas. La compatibilidad con DNS se configura para la red del cliente DHCP en el servidor DHCP. El cliente DHCP se configura para proporcionar un nombre de host solicitado en su mensaje de solicitud de DHCP. El nombre de host solicitado corresponde a una direccin que pertenece a DHCP. El nombre de host podra no tener ninguna direccin correspondiente.
Cmo activar la actualizacin de DNS dinmica para los clientes DHCP

Nota Las actualizaciones de DNS dinmicas suponen un peligro para la seguridad.
De modo predeterminado, el daemon DNS de Solaris (in.named) no permite las actualizaciones dinmicas. La autorizacin para las actualizaciones de DNS dinmicas se concede en el archivo de configuracin named.conf del sistema de servidor de DNS. No se proporciona ninguna seguridad adicional. Debe considerar detenidamente la conveniencia de esta utilidad para los usuarios teniendo en cuenta el riesgo que plantea la habilitacin de actualizaciones de DNS dinmicas.
1 2 3
En el servidor DNS, edite el archivo /etc/named.conf como superusuario. Busque la seccin zone para el dominio adecuado en el archivo named.conf. Agregue las direcciones IP del servidor DHCP a la palabra clave allow-update. Si la palabra clave allow-update no existe, insrtela. Por ejemplo, si el servidor DHCP se encuentra en las direcciones 10.0.0.1 y 10.0.0.2, el archivo named.conf de la zona dhcp.domain.com debe modificarse del siguiente modo:
zone "dhcp.domain.com" in { type master; file "db.dhcp"; allow-update { 10.0.0.1; 10.0.0.2; }; }; zone "10.IN-ADDR.ARPA" in { type master; file "db.10"; allow-update { 10.0.0.1; 10.0.0.2; }; };
Tenga en cuenta que allow-update para ambas zonas debe estar habilitado para permitir al servidor DHCP actualizar tanto los registros A como PTR en el servidor DNS.
4
En el servidor DHCP, inicie el Administrador de DHCP.

Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin ms detallada.
5
Elija Modify en el men Service. Se abrir el cuadro de dilogo Modify Service Options. Seleccione Update DNS Host Information Upon Client Request. Especifique el nmero de segundos que debe esperar una respuesta del servidor DNS antes de desconectar y haga clic en OK. El valor predeterminado de 15 segundos debe ser suficiente. Si tiene problemas con el tiempo de espera, puede aumentar el valor ms adelante. Haga clic en la ficha Macros y asegrese de especificar el dominio DNS correcto. La opcin DNSdmain debe transferirse con el nombre de dominio correcto a cualquier cliente que requiera asistencia dinmica para la actualizacin de DNS. De modo predeterminado, DNSdmain se especifica en la macro del servidor, que se utiliza como la macro de configuracin vinculada a cada direccin IP. Configure el cliente DHCP para especificar su nombre de host cuando solicite el servicio DHCP. Si utiliza el cliente Solaris DHCP, consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459. Si su cliente no es un cliente Solaris DHCP, consulte la documentacin de su cliente DHCP para obtener informacin sobre cmo especificar un nombre de host.
6 7
Registro de nombres de host de cliente

Si configura el servidor DHCP para que genere nombres de host para las direcciones IP que se colocan en el servicio DHCP, el servidor DHCP puede registrar dichos nombres de host en NIS+, /etc/inet/hosts o los servicios de nombres DNS. El registro del nombre de host no se puede realizar en NIS porque NIS no proporciona un protocolo que permita a los programas actualizar y propagar asignaciones NIS.
Nota El servidor DHCP puede actualizar DNS con nombres de host generados slo si el
servidor DNS y el servidor DHCP se ejecutan en el mismo sistema.
378
Si un cliente DHCP proporciona su nombre de host y el servidor DNS est configurado para permitir las actualizaciones dinmicas del servidor DHCP, el servidor DHCP puede actualizar DNS en nombre del cliente. Las actualizaciones dinmicas se pueden realizar aunque los servidores de DNS y DHCP se ejecuten en distintos sistemas. Consulte Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP en la pgina 376 para obtener ms informacin sobre la habilitacin de esta funcin. La tabla siguiente resume el registro de nombres de host de cliente para los sistemas de cliente DHCP con los distintos servicios de nombres.
TABLA 152
Registro de nombres de host de cliente en los servicios de nombres

Quin registra el nombre de host
Servicio de nombres
Nombre de host generado por DHCP
Nombre de host proporcionado por el cliente DHCP
NIS NIS+ /etc/hosts DNS
Administrador NIS Herramientas de DHCP Herramientas de DHCP
Administrador NIS Herramientas de DHCP Herramientas de DHCP
Herramientas de DHCP, si el servidor Servidor DHCP, si se configura para las DNS se ejecuta en el mismo sistema que el actualizaciones de DNS dinmicas servidor DHCP Administrador de DNS, si el servidor Administrador de DNS, si el servidor DHCP no est configurado para las DNS se ejecuta en un sistema diferente actualizaciones de DNS dinmicas
Los clientes Solaris DHCP pueden solicitar nombres de host especficos en las solicitudes DHCP si estn configurados para hacerlo de acuerdo con lo descrito en Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459. Consulte la documentacin del proveedor para los dems clientes DHCP con el fin de averiguar si se admite esta posibilidad.
Personalizacin de las opciones de rendimiento del servidor DHCP

Puede cambiar las opciones que afectan al rendimiento del servidor DHCP. Estas opciones se describen en la tabla siguiente.
379
TABLA 153
Opciones que afectan al rendimiento del servidor DHCP

Descripcin Palabra clave
Opcin de servidor
Nmero mximo de saltos de Si una solicitud ha pasado por ms de un nmero especfico de RELAY_HOPS=entero agentes de reenvo BOOTP agentes de reenvo BOOTP, la solicitud se soltar. El nmero mximo predeterminado de saltos de agentes de reenvo es cuatro. Este nmero normalmente es suficiente para la mayora de las redes. Es posible que una red necesite ms de cuatro saltos si las solicitudes DHCP pasan por varios agentes de reenvo BOOTP antes de alcanzar un servidor DHCP. Detectar direcciones duplicadas De modo predeterminado, el servidor establece una conexin ping con una direccin IP antes de ofrecer la direccin a un cliente. Si no hay respuesta para la conexin ping, se verifica que la direccin no est en uso. Puede inhabilitar esta funcin para reducir el tiempo que necesita el servidor para realizar una oferta. Sin embargo, al inhabilitar la funcin existe el riesgo de utilizar direcciones IP duplicadas. ICMP_VERIFY=TRUE/FALSE
Volver a cargar dhcptab automticamente a intervalos especficos
RESCAN_INTERVAL=min El servidor se puede configurar para leer automticamente dhcptab en el intervalo especificado en minutos. Si la informacin de configuracin de red no cambia con frecuencia y no tiene mltiples servidores DHCP, no es necesario volver a cargar dhcptab automticamente. Asimismo, el Administrador de DHCP ofrece la opcin de que el servidor vuelva a cargar dhcptab tras haber realizado cambios en los datos. Despus de que un servidor ofrezca una direccin IP a un OFFER_CACHE_TIMEOUT=seg cliente, la oferta se almacena en la memoria cach. Mientras la oferta se encuentre en la memoria cach, el servidor no volver a ofrecer la direccin. Puede cambiar el nmero de segundos durante el que se almacena la oferta en la memoria cach. El valor predeterminado es de 10 segundos. En redes ms lentas, es posible que tenga que aumentar el tiempo de oferta.
Ofertas de cach de direcciones IP para intervalos especficos
Los procedimientos siguientes describen cmo cambiar estas opciones.
Cmo personalizar las opciones de rendimiento DHCP (Administrador de DHCP)

En el Administrador de DHCP, elija Modify en el men Service. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
380
Cambie las opciones que desee. Para obtener informacin sobre las opciones, consulte la Tabla 153.
3 4
Seleccione Restart Server. Haga clic en Aceptar.
Cmo personalizar las opciones de rendimiento DHCP (lnea de comandos)

Si cambia las opciones de este procedimiento, las opciones modificadas slo se utilizarn despus de reiniciar el servidor DHCP.
Modifique una o ms opciones de rendimiento:

# /usr/sbin/dhcpconfig -P keyword=value,keyword=value...
palabra_clave=valor puede ser cualquiera de las siguientes palabras clave: RELAY_HOPS=entero Especifica el nmero mximo de saltos de agentes de reenvo que puede tener lugar antes de que el daemon suelte el datagrama DHCP o BOOTP. Habilita o inhabilita la deteccin automtica de direcciones IP duplicadas. No se recomienda configurar esta palabra clave como FALSE. Especifica el intervalo en minutos que el servidor DHCP debe utilizar para planificar la relectura automtica de la informacin de dhcptab. Especifica la cantidad de segundos que el servidor DHCP debe almacenar en cach las ofertas que se extienden al descubrimiento de clientes DHCP. El valor predeterminado es de 10 segundos.
ICMP_VERIFY=TRUE/FALSE
RESCAN_INTERVAL=minutos
OFFER_CACHE_TIMEOUT=segundos
381
Cmo agregar, modificar y eliminar redes DHCP (mapa de tareas)
Ejemplo 151
Configuracin de las opciones de rendimiento de DHCP

A continuacin se incluye un ejemplo de cmo especificar todas las opciones de comandos.
# dhcpconfig -P RELAY_HOPS=2,ICMP_VERIFY=TRUE,\ RESCAN_INTERVAL=30,OFFER_CACHE_TIMEOUT=20

Al configurar un servidor DHCP, tambin debe configurar como mnimo una red para poder utilizar el servicio DHCP. Puede agregar ms redes en cualquier momento. El siguiente mapa de tareas enumera las tareas que puede realizar cuando trabaja con redes DHCP. El mapa de tareas incluye vnculos para los procedimientos que permiten llevar a cabo las tareas.
Activar o desactivar el servicio El comportamiento predeterminado es Cmo especificar interfaces de red para la DHCP en las interfaces de red supervisar todas las interfaces de red para las supervisin de DHCP (Administrador de DHCP) del servidor solicitudes DHCP. Si no desea que todas las en la pgina 384 interfaces acepten solicitudes DHCP, puede eliminar una interfaz de la lista de interfaces supervisadas. Agregar una nueva red al servicio DHCP. Coloca una red en la administracin de Como agregar una red DHCP (Administrador de DHCP para administrar las direcciones IP de DHCP) en la pgina 386 la red. Cmo agregar una red DHCP (dhcpconfig) en la pgina 387 Modifica la informacin que se pasa a los clientes de una red especfica. Cmo modificar la configuracin de una red DHCP (Administrador de DHCP) en la pgina 388 Cmo modificar la configuracin de una red DHCP (dhtadm) en la pgina 389 Eliminar una red del servicio DHCP. Elimina una red para que DHCP deje de administrar las direcciones IP de la red. Cmo eliminar una red DHCP (Administrador de DHCP) en la pgina 391 Cmo eliminar una red DHCP (pntadm) en la pgina 391
Cambiar parmetros de una red administrada por DHCP.
382
Especificacin de interfaces de redes para la supervisin de DHCP

De modo predeterminado, tanto dhcpconfig como el asistente de configuracin del Administrador de DHCP configuran el servidor DHCP para que supervise todas las interfaces de red del sistema servidor. Si agrega una nueva interfaz de red al sistema servidor, el servidor DHCP supervisa automticamente la nueva interfaz al arrancar el sistema. A continuacin, puede agregar cualquier red que se supervisar mediante la interfaz de red. Sin embargo, tambin puede especificar qu interfaces de red se deben supervisar, y cules deben omitirse. Puede omitir una interfaz si no desea ofrecer un servicio DHCP en dicha red. Si especifica que debe omitirse cualquier interfaz y luego instala una interfaz nueva, el servidor DHCP omite la nueva interfaz. Debe agregar la nueva interfaz a la lista de interfaces supervisadas del servidor. Puede especificar las interfaces con el Administrador de DHCP o la utilidad dhcpconfig. Esta seccin incluye los procedimientos que permiten especificar qu interfaces de red debe supervisar u omitir DHCP. El procedimiento del Administrador de DHCP utiliza la ficha Interfaces del cuadro de dilogo Modify Service Options del Administrador de DHCP, que se muestra en la figura siguiente.
FIGURA 154
Ficha Interfaces del cuadro de dilogo Modify Service Options del Administrador de DHCP
383
Cmo especificar interfaces de red para la supervisin de DHCP (Administrador de DHCP)

En el Administrador de DHCP, elija Modify en el men Service. Se muestra el cuadro de dilogo Modify Service Options. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
2 3 4
Seleccione la ficha Interfaces. Seleccione la interfaz de red adecuada. Haga clic en los botones de flechas para mover la interfaz a la lista adecuada. Por ejemplo, para omitir una interfaz, seleccinela en la lista Monitored Interfaces y, a continuacin, haga clic en el botn de flecha derecha. La interfaz se muestra en la lista Ignored Interfaces. Seleccione Restart Server y haga clic en Aceptar. Los cambios que realice persistirn tras los rearranques.
Cmo especificar las interfaces de red para la supervisin de DHCP (dhcpconfig)

Escriba el comando siguiente en el sistema de servidor DHCP:

# /usr/sbin/dhcpconfig -P INTERFACES=int,int,...
int, int,... es una lista de interfaces que supervisar. Los nombres de interfaz deben separarse con comas. Por ejemplo, debe utilizar el siguiente comando para supervisar slo ge0 y ge1:
#/usr/sbin/dhcpconfig -P INTERFACES=ge0,ge1
Las interfaces que desea omitir deben omitirse de la lnea de comandos dhcpconfig. Los cambios realizados con este comando persistirn tras los rearranques.
Cmo agregar redes DHCP

Si utiliza el Administrador de DHCP para configurar el servidor, la primera red tambin se configura a la vez. La primera red es normalmente la red local de la interfaz principal del sistema de servidor. Si desea configurar redes adicionales, utilice el asistente Network Wizard del Administrador de DHCP. Si utiliza el comando dhcpconfig -D para configurar el servidor, debe configurar por separado todas las redes que desee que utilicen el servicio DHCP. Consulte Cmo agregar una red DHCP (dhcpconfig) en la pgina 387 para obtener ms informacin. La figura siguiente muestra el cuadro de dilogo inicial para el asistente Network Wizard del Administrador de DHCP.
FIGURA 155
Asistente Network Wizard del Administrador de DHCP
385
Al configurar una nueva red, el Administrador de DHCP crea los componentes siguientes:
Una tabla de red en el almacn de datos. La nueva red se muestra en la lista de red de la ficha Addresses del Administrador de DHCP. Una macro de red que contiene la informacin que necesitan los clientes que residen en esta red. El nombre de la macro de red coincide con la direccin IP de la red. La macro de red se agrega a la tabla dhcptab del almacn de datos.
Como agregar una red DHCP (Administrador de DHCP)

En el Administrador de DHCP, haga clic en la ficha Addresses. Aparecer cualquier red que ya est configurada para el servicio DHCP. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
2 3
Elija Network Wizard en el men Edit. Seleccione las opciones o escriba la informacin necesaria. Utilice las decisiones que tom durante la fase de planificacin para determinar la informacin que se debe especificar. La planificacin se describe en Planificacin de la configuracin DHCP de las redes remotas en la pgina 346. Si tiene problemas con el uso del asistente, haga clic en Help en la ventana del asistente. El navegador Web muestra ayuda para el asistente Network Wizard de DHCP.
Haga clic en Finish para completar la configuracin de la red cuando haya terminado de especificar la informacin solicitada. El asistente Network Wizard crea una tabla de red vaca, que aparece en el panel izquierdo de la ventana. El asistente Network Wizard tambin crea una macro de red cuyo nombre coincide con la direccin IP de la red.
(Opcional) Seleccione la ficha Macros y la macro de red para visualizar el contenido de la macro. Puede confirmar que la informacin proporcionada en el asistente se ha insertado como valores para las opciones de la macro de red.
Vase tambin
Debe agregar direcciones para la red para poder administrar las direcciones IP de la red en DHCP. Consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 399 para obtener ms informacin.
386
Si deja vaca la tabla de red, el servidor DHCP puede seguir proporcionando informacin de configuracin a los clientes. Consulte Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 434 para obtener ms informacin.
Cmo agregar una red DHCP (dhcpconfig)

Escriba el comando siguiente en el sistema de servidor DHCP:

# /usr/sbin/dhcpconfig -N network-address
direccin_red es la direccin IP de la red que desea agregar al servicio DHCP. Consulte la pgina del comando man dhcpconfig(1M) para conocer las subopciones que puede utilizar con la opcin -N. Si no utiliza las subopciones, dhcpconfig utiliza los archivos de red para obtener informacin sobre la red.
Vase tambin
Debe agregar direcciones para la red para poder administrar las direcciones IP de la red en DHCP. Consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 399 para obtener ms informacin. Si deja vaca la tabla de red, el servidor DHCP puede seguir proporcionando informacin de configuracin a los clientes. Consulte Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas) en la pgina 434 para obtener ms informacin.
Modificacin de configuraciones de redes DHCP

Tras agregar una red al servicio DHCP, puede modificar la informacin de configuracin que facilit originalmente. La informacin de configuracin se almacena en la macro de red que se utiliza para transferir informacin a los clientes de la red. Debe modificar la macro de red para cambiar la configuracin de red. La siguiente figura muestra la ficha Macros del Administrador de DHCP.
387
FIGURA 156
Ficha Macros del Administrador de DHCP
Cmo modificar la configuracin de una red DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Macros. Todas las macros definidas para este servidor DHCP se enumeran en el panel izquierdo. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Seleccione la macro de red cuyo nombre coincida con la configuracin de red que est modificando. El nombre de la macro de red es la direccin IP de red.
Elija Properties en el men Edit. El cuadro de dilogo Macro Properties muestra una tabla con las opciones que incluye la macro.
Seleccione la opcin que desea modificar. El nombre de opcin y su valor se muestran en los campos de texto en la parte superior del cuadro de dilogo.
388
(Opcional) Modifique el nombre de opcin o elija el botn Select para mostrar una lista con los nombres de opciones. El cuadro de dilogo Select Option incluye una lista de todas las opciones estndar de DHCP y una breve descripcin de cada opcin. (Opcional) Seleccione un nombre de opcin en el cuadro de dilogo Select Option y haga clic en OK. El nuevo nombre de opcin se muestra en el campo Option Name. Escriba el nuevo valor para la opcin y haga clic en Modify. (Opcional) Tambin puede agregar opciones a la macro de red network eligiendo Select en el cuadro de dilogo. Consulte Modificacin de macros DHCP en la pgina 414 para obtener ms informacin general acerca de la modificacin de macros. Seleccione Notify DHCP Server of Change y haga clic en OK. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
7 8
Cmo modificar la configuracin de una red DHCP (dhtadm)

Determine qu macro incluye informacin para todos los clientes de la red. El nombre de la macro de red coincide con la direccin IP de la red. Si no sabe qu macro incluye esta informacin, puede visualizar la tabla dhcptab para ver todas las macros utilizando el comando dhtadm -P.
Escriba un comando con el formato siguiente para cambiar el valor de la opcin que desee cambiar:
# dhtadm -M -m macro-name -e symbol=value -g
Consulte la pgina del comando man dhtadm(1M) para obtener informacin sobre las opciones de lnea de comandos dhtadm.
Ejemplo 152
Uso del comando dhtadm para modificar una macro de DHCP

Por ejemplo, para cambiar el tiempo de permiso de la macro 10.25.62.0 a 57.600 segundos y el dominio NIS a sem.example.com, debe escribir los siguientes comandos: # dhtadm -M -m 10.25.62.0 -e LeaseTim=57600 -g # dhtadm -M -m 10.25.62.0 -e NISdmain=sem.example.com -g La opcin -g hace que el daemon de DHCP vuelva a leer la tabla dhcptab y aplique los cambios.
Eliminacin de redes DHCP

El Administrador de DHCP permite eliminar varias redes de forma simultnea. Asimismo, tiene la opcin de eliminar automticamente las entradas de la tabla de hosts asociadas con las direcciones IP administradas por DHCP en dichas redes. La figura siguiente muestra el cuadro de dilogo Delete Networks del Administrador de DHCP.
FIGURA 157
Cuadro de dilogo Delete Networks del Administrador de DHCP
El comando pntadm requiere la eliminacin de cada entrada de direccin IP de una red antes de eliminar dicha red. No puede eliminar ms de una red a la vez.
390
Cmo eliminar una red DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Addresses. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Elija Delete Networks en el men Edit. Se abrir el cuadro de dilogo Delete Networks.
En la lista Keep Networks, seleccione las redes que desee eliminar. Pulse la tecla Control mientras hace clic con el ratn para seleccionar varias redes. Pulse la tecla Mays mientras hace clic para seleccionar un rango de redes.
Haga clic en el botn de flecha derecha para mover las redes seleccionadas a la lista Delete Networks. Si desea eliminar las entradas de tabla host para estas direcciones DHCP de la red, seleccione Delete Host Table Entries. Tenga en cuenta que al eliminar las entradas de tabla host no se eliminan los registros host del servidor DNS para estas direcciones. Las entradas slo se eliminan en el servicio de nombres local.
Haga clic en Aceptar.
Cmo eliminar una red DHCP (pntadm)

Tenga en cuenta que este procedimiento elimina las direcciones IP de red de la tabla de red DHCP antes de eliminar la red. Las direcciones se eliminan para asegurarse de que los nombres de host se eliminen de la base de datos o el archivo hosts.
Clientes BOOTP con el servicio DHCP (mapa de tareas)
Escriba un comando con el siguiente formato para eliminar una direccin IP y su nombre de host del servicio de nombres:
# pntadm -D -y IP-address
Por ejemplo, para eliminar la direccin IP 10.25.52.1, debe escribir el comando siguiente: # pntadm -D -y 10.25.52.1 La opcin -y especifica que se debe eliminar el nombre de host.
3
Repita el comando pntadm -D -y para cada direccin de la red. Puede crear una secuencia para ejecutar el comando pntadm si necesita borrar mltiples direcciones.
Una vez eliminadas todas las direcciones, escriba el comando siguiente para eliminar la red del servicio DHCP.
# pntadm -R network-IP-address
Por ejemplo, para eliminar la red 10.25.52.0, debe escribir el comando siguiente: # pntadm -R 10.25.52.0 Consulte la pgina del comando man pntadm(1M) para obtener ms informacin sobre la utilidad pntadm.

Para ofrecer compatibilidad con clientes BOOTP en el servidor DHCP, debe configurar el servidor DHCP para que sea compatible con BOOTP. Si desea especificar qu clientes BOOTP pueden utilizar DHCP, puede registrar los clientes BOOTP en la tabla de red del servidor DHCP. Tambin puede reservar una serie de direcciones IP para la asignacin automtica a clientes BOOTP.
Nota Las direcciones BOOTP se asignan permanentemente, tanto si asigna explcitamente un permiso permanente para la direccin como si no lo hace.
El siguiente mapa de tareas enumera las tareas que puede necesitar llevar a cabo para conseguir la compatibilidad con los clientes BOOTP. El mapa de tareas contiene vnculos a los procedimientos que se utilizan para llevar a cabo las tareas.
392
Tarea
Descripcin
Configurar compatibilidad automtica con Proporciona la direccin IP para cualquier BOOTP. cliente BOOTP de una red administrada por DHCP, o en una red conectada mediante un agente de reenvo a una red administrada por DHCP. Debe reservar una agrupacin de direcciones para uso exclusivo de los clientes BOOTP. Esta opcin podra ser ms til si el servidor debe admitir una gran cantidad de clientes BOOTP. Configurar compatibilidad manual con BOOTP.
Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP) en la pgina 393
Proporciona una direccin IP slo para los Cmo configurar la compatibilidad de los clientes BOOTP que se han registrado clientes BOOTP registrados manualmente con el servicio DHCP. (Administrador de DHCP) en la pgina 394 Esta opcin hace preciso vincular el ID de un cliente a una direccin IP especfica que se ha marcado para los clientes BOOTP. Esta opcin resulta til para un nmero reducido de clientes BOOTP o cuando se desea limitar la cantidad de clientes BOOTP que pueden utilizar el servidor DHCP.
Cmo configurar la compatibilidad de cualquier cliente BOOTP (Administrador de DHCP)

En el Administrador de DHCP, seleccione Modify en el men Service. Se abrir el cuadro de dilogo Modify Service Options. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
2 3 4 5
En la seccin BOOTP Compatibility del cuadro de dilogo, seleccione Automatic. Seleccione Restart Server y haga clic en Aceptar. Seleccione la ficha Addresses. Seleccione las direcciones que desee reservar para los clientes BOOTP. Seleccione un rango de direcciones haciendo clic en la primera direccin, pulsando la tecla Mays y haciendo clic en la ltima direccin. Seleccione varias direcciones no simultneas pulsando la tecla Control mientras hace clic en cada direccin.
Seleccione Properties en el men Edit. Se abrir el cuadro de dilogo Modify Multiple Addresses.
En la seccin BOOTP, seleccione Assign All Addresses Only to BOOTP Clients. Las opciones restantes se deben configurar como Keep Current Settings.
Haga clic en Aceptar. Ahora cualquier cliente BOOTP podr obtener una direccin de este servidor DHCP.
Cmo configurar la compatibilidad de los clientes BOOTP registrados (Administrador de DHCP)

En el Administrador de DHCP, seleccione Modify en el men Service. Se abrir el cuadro de dilogo Modify Service Options. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
2 3 4 5 6
En la seccin BOOTP Compatibility del cuadro de dilogo, seleccione Manual. Seleccione Restart Server y haga clic en Aceptar. Seleccione la ficha Addresses. Seleccione una direccin que desee asignar a un cliente BOOTP concreto. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties.
7 8
En el cuadro de dilogo Address Properties, seleccione la ficha Lease. En el campo Client ID, escriba el identificador del cliente. Para un cliente de Solaris BOOTP de una red Ethernet, el ID de cliente es una cadena que se obtiene de la direccin Ethernet hexadecimal del cliente. El ID de cliente incluye un prefijo que indica el tipo de protocolo de resolucin de direcciones (ARP) para Ethernet (01). Por ejemplo, un cliente BOOTP con la direccin Ethernet 8:0:20:94:12:1e utilizara el ID de cliente 0108002094121E .
394
Uso de direcciones IP en el servicio DHCP (mapa de tareas)
Consejo Como superusuario de un sistema cliente de Solaris, escriba el comando siguiente para obtener la direccin Ethernet para la interfaz:
# ifconfig -a
9 10
Seleccione Reserved para reservar la direccin IP para este cliente. Seleccione Assign Only to BOOTP Clients y haga clic en OK. En la ficha Addresses, BOOTP se muestra en el campo Status y el ID de cliente especificado aparece en el campo Client ID.

Puede utilizar el Administrador de DHCP o el comando pntadm para agregar direcciones IP, modificar propiedades de direcciones y eliminar direcciones del servicio DHCP. Antes de trabajar con direcciones IP, debe consultar la Tabla 154 para familiarizarse con las propiedades de las direcciones IP. La tabla contiene informacin para los usuarios del Administrador de DHCP y pntadm.
Nota La Tabla 154 incluye ejemplos del uso de pntadm para especificar las propiedades de direcciones IP mientras se agregan y modifican las direcciones IP. Consulte tambin la pgina del comando man pntadm(1M) para obtener ms informacin sobre pntadm .
El siguiente mapa de tareas enumera las tareas que se deben llevar a cabo para agregar, modificar o eliminar direcciones IP. El mapa de tareas tambin contiene vnculos a los procedimientos utilizados para llevar a cabo las tareas.
395
Tarea
Descripcin
Agregar una o varias direcciones IP al servicio DHCP.
Agrega direcciones IP en las redes que ya administra el servicio DHCP utilizando el Administrador de DHCP.
Cmo agregar una nica direccin IP (Administrador de DHCP) en la pgina 401 Cmo duplicar una direccin IP existente (Administrador de DHCP) en la pgina 402 Cmo agregar varias direcciones IP (Administrador de DHCP) en la pgina 402 Cmo agregar direcciones IP (pntadm ) en la pgina 403
Cambiar las propiedades de una direccin IP.
Cambia cualquier propiedad de direccin IP descrita en la Tabla 154.
Cmo modificar las propiedades de direcciones IP (Administrador de DHCP) en la pgina 405 Cmo modificar las propiedades de direcciones IP (pntadm) en la pgina 405
Eliminar direcciones IP del servicio DHCP. Evita que DHCP utilice las direcciones IP especificadas.
Cmo marcar direcciones IP como no utilizables (Administrador de DHCP) en la pgina 406 Cmo marcar direcciones IP como inutilizables (pntadm) en la pgina 407 Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP) en la pgina 408 Cmo eliminar direcciones IP del servicio DHCP (pntadm) en la pgina 409
Asignar una direccin IP coherente a un cliente DHCP.
Configura un cliente para recibir la misma direccin IP cada vez que el cliente solicita su configuracin.
Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP) en la pgina 410 Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm) en la pgina 411
La tabla siguiente enumera y describe las propiedades de las direcciones IP.
396
TABLA 154 Propiedad
Propiedades de direcciones IP
Descripcin Cmo especificar en el comando pntadm
Direccin de red
La direccin de la red que contiene la direccin IP con la que se est trabajando. La direccin de red se muestra en la lista Networks de la ficha Addresses del Administrador de DHCP.
La direccin de red debe ser el ltimo argumento de la lnea de comandos pntadm que se ha utilizado para crear, modificar o eliminar una direccin IP. Por ejemplo, para agregar una direccin IP a la red 10.21.0.0, escriba: pntadm -A opciones direccin_IP 10.21.0.0
Direccin IP
La direccin con la que trabaja, tanto si est creando, modificando o eliminando la direccin. La direccin IP se muestra en la primera columna de la ficha Addresses del Administrador de DHCP.
La direccin IP debe acompaar a las opciones -A, -M y -D del comando pntadm. Por ejemplo, para modificar la direccin IP 10.21.5.12, escriba: pntadm -M 10.21.5.12 opciones 10.21.0.0 Especifique el nombre de cliente con la opcin -h. Por ejemplo, para especificar el nombre de cliente carrot12 para 10.21.5.12, escriba: pntadm -M 10.21.5.12 -h carrot12 10.21.0.0
Nombre del cliente
El nombre de host asignado a la direccin IP de la tabla de hosts. El Administrador de DHCP puede generar automticamente este nombre cuando se crean las direcciones. Si crea una sola direccin, puede facilitar el nombre.
Propiedad de un servidor
El servidor DHCP que administra la direccin Especifique el nombre de servidor propietario con la opcin -s. IP y responde a la solicitud del cliente DHCP Por ejemplo, para especificar el servidor blue2 para que sea de una asignacin de direccin IP. propietario de 10.21.5.12 , escriba: pntadm -M 10.21.5.12 -s blue2 10.21.0.0
Macro de configuracin
La macro que utiliza el servidor DHCP para obtener las opciones de configuracin de red de la tabla dhcptab. Cuando se configura un servidor y se agregan redes se crean automticamente varias macros. Consulte Macros DHCP en la pgina 329 si desea ms informacin sobre las macros. Cuando se crean direcciones, tambin se crea una macro de servidor. La macro de servidor se asigna como macro de configuracin para cada direccin.
Especifique el nombre de macro con la opcin -m. Por ejemplo, para asignar la macro de servidor blue2 a la direccin 10.21.5.12, escriba: pntadm -M 10.21.5.12 -m blue2 10.21.0.0
397
TABLA 154 Propiedad
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
Id. de cliente
Cadena de texto que es exclusiva en el servicio Especifique el ID de cliente con la opcin -i. DHCP. Por ejemplo, para asignar el ID de cliente 08002094121E a la Si el ID de cliente aparece como 00, la direccin 10.21.5.12, escriba: direccin no est asignada a ningn cliente. Si pntadm -M 10.21.5.12 -i 0108002094121E 10.21.0.0 especifica un ID de cliente al modificar las propiedades de una direccin IP, la direccin est vinculada exclusivamente a ese cliente. El fabricante del cliente DHCP determina el ID del cliente. Si el cliente no es un cliente Solaris DHCP, consulte la documentacin del cliente DHCP para obtener ms informacin. Para los clientes Solaris DHCP, el ID de cliente se obtiene de la direccin de hardware hexadecimal del cliente. El ID de cliente incluye un prefijo que representa el cdigo ARP para el tipo de red, como 01 para Ethernet. Los cdigos ARP los asigna la Autoridad de nmeros asignados de Internet (IANA) en la seccin ARP Parameters del estndar Assigned Numbers en http://www.iana.com/numbers.html Por ejemplo, un cliente Solaris con la direccin Ethernet hexadecimal 8:0:20:94:12:1e utiliza el ID de cliente 0108002094121E . El ID de cliente aparece en el Administrador de DHCP y pntadm cuando un cliente esta utilizando una direccin. Sugerencia: Como superusuario de un sistema cliente de Solaris, escriba el comando siguiente para obtener la direccin Ethernet para la interfaz: ifconfig -a
Reservado
Parmetro que especifica que la direccin est reservada exclusivamente para el cliente indicado por el ID de cliente, y que el servidor DHCP no puede solicitar la direccin. Si elige esta opcin, la direccin se asigna manualmente al cliente.
Especifique que la direccin est reservada, o se asigna manualmente, con la opcin -f. Por ejemplo, para especificar que la direccin IP 10.21.5.12 est reservada para un cliente, escriba: pntadm -M 10.21.5.12 -f MANUAL 10.21.0.0
398
TABLA 154 Propiedad
Descripcin
(Continuacin)
Cmo especificar en el comando pntadm
Tipo de permiso o directiva
Parmetro que determina el modo en que DHCP administra el uso que hacen los clientes de las direcciones IP. Un permiso puede ser dinmico o permanente. Consulte Tipos de permiso dinmico y permanente en la pgina 344 para obtener una descripcin ms detallada al respecto. La fecha en que caduca el permiso, slo aplicable cuando se especifica un permiso dinmico. La fecha se especifica con el formato mm/dd/aaaa.
Especifique que la direccin est asignada permanentemente con la opcin -f. De modo predeterminado, las direcciones obtienen permisos dinmicamente. Por ejemplo, para especificar que la direccin IP 10.21.5.12 tiene un permiso permanente, escriba: pntadm -M 10.21.5.12 -f PERMANENT 10.21.0.0 Especifique una fecha de caducidad del permiso con la opcin -e. Por ejemplo, para especificar la fecha de caducidad 1 de enero de 2006, debe escribir: pntadm -M 10.21.5.12 -e 01/01/2006 10.21.0.0
Fecha de caducidad del permiso
Parmetro BOOTP
Parmetro que marca la direccin como reservada para los clientes BOOTP. Consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392 para obtener ms informacin sobre la compatibilidad con clientes BOOTP. Parmetro que marca la direccin para impedir que se asigne a cualquier cliente.
Reserve una direccin para los clientes BOOTP con la opcin -f. Por ejemplo, para reservar la direccin IP 10.21.5.12 para los clientes BOOTP, debe escribir: pntadm -M 10.21.5.12 -f BOOTP 10.21.0.0 Marque una direccin como inutilizable con la opcin -f. Por ejemplo, para marcar la direccin IP 10.21.5.12 como inutilizable, escriba: pntadm -M 10.21.5.12 -f UNUSABLE 10.21.0.0
Parmetro inutilizable
Cmo agregar direcciones IP al servicio DHCP

Antes de agregar direcciones IP, debe agregar la red que posee las direcciones al servicio DHCP. Consulte Cmo agregar redes DHCP en la pgina 385 para obtener informacin sobre cmo agregar redes. Puede agregar direcciones con el Administrador de DHCP o el comando pntadm. En las redes que ya administra el servicio DHCP, puede utilizar el Administrador de DHCP para agregar las direcciones de diferentes modos:
Agregue una nica direccin IP: coloque una nueva direccin IP en la administracin de DHCP. Duplique una direccin IP existente: copie las propiedades de una direccin IP existente administrada por DHCP y proporciona una direccin IP y un nombre de cliente nuevos. Agregue un rango de mltiples direcciones IP: utilice el asistente Address Wizard para colocar una serie de direcciones IP en la administracin de DHCP.
399
La siguiente figura muestra el cuadro de dilogo Create Address. El cuadro de dilogo Duplicate Address es idntico al cuadro de dilogo Create Address, excepto en que los campos de texto muestran los valores para una direccin existente.
FIGURA 158
Cuadro de dilogo Create Address del Administrador de DHCP
La figura siguiente muestra el primer cuadro de dilogo del asistente Add Addresses to Network, que permite agregar un rango de direcciones IP.
400
FIGURA 159
Asistente Add Addresses to Network del Administrador de DHCP
Cmo agregar una nica direccin IP (Administrador de DHCP)

2 3
Seleccione la red en la que se agregar la nueva direccin IP. Elija Crear en el men Editar. Se abrir el cuadro de dilogo Crear direccin.
Seleccione o escriba los valores para los parmetros de direcciones en las fichas Address y Lease. Pulse el botn Help para abrir un explorador web con ayuda para el cuadro de dilogo. Asimismo, consulte la Tabla 154 para obtener informacin detallada sobre los parmetros.
401
Cmo duplicar una direccin IP existente (Administrador de DHCP)

2 3 4 5 6
Seleccione la red en la que se encuentra la nueva direccin IP. Seleccione la direccin que tenga las propiedades que desea duplicar. Elija Duplicate en el men Edit. Especifique la nueva direccin IP en el campo IP Address. (Opcional) Especifique un nuevo nombre de cliente para la direccin. No puede utilizar el mismo nombre que utilice la direccin que est duplicando.
(Opcional) Modifique otros valores de opciones, si es preciso. La mayora de las aplicaciones restantes no se modificarn.
Cmo agregar varias direcciones IP (Administrador de DHCP)

2 3
Seleccione la red en la que se agregarn las nuevas direcciones IP. Elija Address Wizard en el men Edit. El cuadro de dilogo Add Addresses to Network solicita que especifique valores para las propiedades de direcciones IP. Consulte la Tabla 154 para obtener ms informacin sobre las propiedades, o pulse el botn Help del cuadro de dilogo. Toma de decisiones para la administracin de direcciones IP (mapa de tareas) en la pgina 341 incluye informacin ms exhaustiva.
402
Haga clic en el botn de flecha derecha cuando finalice cada pantalla, y haga clic en Finish en la ltima pantalla. La ficha Addresses se actualiza con las nuevas direcciones.
Cmo agregar direcciones IP (pntadm )

Agregue direcciones IP escribiendo un comando con el formato siguiente:

# pntadm -A ip-address options network-address
Consulte la pgina del comando man pntadm(1M) para ver una lista de las opciones que puede utilizar con pntadm -A. Adems, la Tabla 154 incluye algunos ejemplos de comandos pntadm que especifican opciones.
Nota Puede escribir una secuencia para agregar varias direcciones con pntadm. Consulte el
Ejemplo 181 para obtener un ejemplo.
Modificacin de direcciones IP en el servicio DHCP

Puede modificar cualquier propiedad de direccin descrita en la Tabla 154 utilizando el Administrador de DHCP o el comando pntadm -M. Consulte la pgina del comando man pntadm(1M) para obtener ms informacin sobre pntadm -M. La figura siguiente muestra el cuadro de dilogo Address Properties que se utiliza para modificar las propiedades de direcciones IP.
403
FIGURA 1510
Cuadro de dilogo Address Properties del Administrador de DHCP
La figura siguiente muestra el cuadro de dilogo Modify Multiple Addresses que se utiliza para modificar mltiples direcciones IP.
FIGURA 1511
Cuadro de dilogo Modify Multiple Addresses del Administrador de DHCP
404
Cmo modificar las propiedades de direcciones IP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Addresses. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Seleccione la red de la direccin IP. Seleccione una o ms direcciones IP que modificar. Si desea modificar ms de una direccin, pulse la tecla Control mientras hace clic para seleccionar varias direcciones. Tambin puede pulsar la tecla Mays mientras hace clic para seleccionar un bloque de direcciones. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties o Modify Multiple Address. Cambie las propiedades que desee. Haga clic en el botn Help o consulte la Tabla 154 para obtener informacin sobre las propiedades. Haga clic en Aceptar.
2 3
Cmo modificar las propiedades de direcciones IP (pntadm)

Modifique las propiedades de direcciones IP escribiendo un comando con el siguiente formato:

# pntadm -M ip-address options network-address
Muchas opciones pueden utilizarse con el comando pntadm, que se describe en la pgina del comando man pntadm(1M).
La Tabla 154 incluye algunos ejemplos de comandos pntadm que especifican opciones.
Eliminacin de direcciones IP del servicio DHCP

En ocasiones, puede necesitar que el servicio DHCP deje de administrar una direccin IP concreta o un grupo de direcciones IP. El mtodo que utilice para eliminar una direccin de DHCP depende de si desea que el cambio sea temporal o permanente.
Para impedir temporalmente el uso de direcciones, puede marcarlas como inutilizables en el cuadro de dilogo Address Properties, tal como se describe en Cmo marcar direcciones IP como inutilizables para el servicio DHCP en la pgina 406. Para impedir permanentemente que los clientes DHCP utilicen direcciones, elimine las direcciones de las tablas de red DHCP, tal como se describe en Eliminacin de direcciones IP del servicio DHCP en la pgina 407.
Cmo marcar direcciones IP como inutilizables para el servicio DHCP

Puede utilizar el comando pntadm -M con la opcin -f UNUSABLE para marcar direcciones como inutilizables. En el Administrador de DHCP, utilice el cuadro de dilogo Address Properties, que se muestra en la Figura 1510, para marcar direcciones individuales. Utilice el cuadro de dilogo Modify Multiple Addresses, que se muestra en la Figura 1511, para marcar varias direcciones, tal como se describe en el procedimiento siguiente.
Cmo marcar direcciones IP como no utilizables (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Addresses. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Seleccione la red de la direccin IP. Seleccione una o ms direcciones IP para marcar como inutilizables. Si desea marcar ms de una direccin como inutilizable, pulse la tecla Control mientras hace clic para seleccionar varias direcciones. Tambin puede pulsar la tecla Mays mientras hace clic para seleccionar un bloque de direcciones.
2 3
406
Elija Properties en el men Edit. Se abrir el cuadro de dilogo Address Properties o Modify Multiple Address.
5 6
Si est modificando una direccin, seleccione la ficha Lease. Seleccione Address is Unusable. Si est editando mltiples direcciones, seleccione Mark All Addresses Unusable.
Cmo marcar direcciones IP como inutilizables (pntadm)

Marque direcciones IP como inutilizables escribiendo un comando con el formato siguiente:

# pntadm -M ip-address -f UNUSABLE network-address
Por ejemplo, para marcar la direccin 10.64.3.3 como inutilizable, escriba: pntadm -M 10.64.3.3 -f UNUSABLE 10.64.3.0
Eliminacin de direcciones IP del servicio DHCP

Debe eliminar las direcciones IP de las tablas de red DHCP si ya no desea que DHCP administre la direccin. Puede utilizar el comando pntadm -D o el cuadro de dilogo Delete Address del Administrador de DHCP. La figura siguiente muestra el cuadro de dilogo Delete Address.
407
FIGURA 1512
Cuadro de dilogo Delete Address del Administrador de DHCP
Cmo eliminar direcciones IP del servicio DHCP (Administrador de DHCP)

2 3
Seleccione la red de la direccin IP. Seleccione una o ms direcciones IP que eliminar. Si desea eliminar ms de una direccin, pulse la tecla Control mientras hace clic para seleccionar varias direcciones. Tambin puede pulsar la tecla Mays mientras hace clic para seleccionar un bloque de direcciones.
Elija Delete en el men Edit. El cuadro de dilogo Delete Address enumera las direcciones que ha seleccionado para que pueda confirmar la eliminacin.
Si desea eliminar los nombres de host de la tabla de hosts, seleccione Delete From Hosts Table. Si el Administrador de DHCP gener los nombres de host, puede eliminar los nombres de la tabla de hosts.
408
Cmo eliminar direcciones IP del servicio DHCP (pntadm)

Elimine las direcciones IP escribiendo un comando con el formato siguiente:

# pntadm -D ip-address options network-address
Si incluye la opcin -y, el nombre de host se elimina del servicio de nombres que mantiene el nombre de host. Por ejemplo, para eliminar la direccin 10.64.3.3 de la red 10.64.3.0, as como eliminar el nombre de host correspondiente, escriba: pntadm -D 10.64.3.3 -y 10.64.3.0
Asignacin de una direccin IP reservada a un cliente DHCP

El servicio Solaris DHCP trata de proporcionar la misma direccin IP a un cliente que ha obtenido previamente una direccin mediante DHCP. Sin embargo, en ocasiones otro cliente ya ha reasignado una direccin. Los encaminadores, servidores NIS o NIS+, servidores DNS y otros hosts que son crticos para la red no deben ser clientes DHCP. Los hosts que proporcionan servicios a la red no deben depender de la red para obtener sus direcciones IP. Los clientes como servidores de impresin o servidores de archivos deben tener direcciones IP coherentes. Estos clientes pueden recibir su configuracin de red y tambin recibir la asignacin de una direccin IP coherente del servidor DHCP. Puede configurar el servidor DHCP para proporcionar la misma direccin IP a un cliente cada vez que el cliente solicite su configuracin. La direccin IP se reserva para el cliente asignando manualmente el ID de cliente a la direccin que desea que utilice el cliente. Puede configurar la direccin reservada para que utilice un permiso dinmico o un permiso permanente. Si la direccin del cliente utiliza un permiso dinmico, puede controlar fcilmente el uso de la direccin. Un cliente sin disco es un ejemplo de cliente que debe utilizar una direccin reservada con un permiso dinmico. Si la direccin del cliente utiliza un permiso permanente,
no es posible controlar el uso de la direccin. Cuando un cliente obtiene un permiso permanente, no vuelve a ponerse en contacto con el servidor. El cliente slo puede obtener informacin de configuracin actualizada liberando la direccin IP y volviendo a iniciar la negociacin del permiso DHCP. Puede utilizar el comando pntadm -M o el cuadro de dilogo Address Properties del Administrador de DHCP para configurar las propiedades de permisos. La figura siguiente muestra la ficha Lease del cuadro de dilogo Address Properties, que se utiliza para modificar el permiso.
FIGURA 1513
Ficha Address Properties Lease del Administrador de DHCP
Cmo asignar una direccin IP coherente a un cliente DHCP (Administrador de DHCP)

2 3
Seleccione la red adecuada. Haga doble clic en la direccin IP que desea que utilice el cliente. Se abrir la ventana Address Properties.
Seleccione la ficha Lease.

410
En el campo Client ID, escriba el ID de cliente. El ID De cliente se obtiene de la direccin de hardware del cliente. Consulte la entrada Client ID en la Tabla 154 para obtener ms informacin.
6 7
Seleccione la opcin Reserved par impedir que el servidor reclame la direccin IP. En el rea Lease Policy de la ventana, seleccione Dynamic assignment o Permanent assignment. Seleccione Dynamic si desea que el cliente negocio la renovacin de permisos, lo que permite controlar el uso de la direccin. Dado que ha seleccionado Reserved, la direccin no se puede reclamar aunque se asigne un permiso dinmico. No es necesario especificar una fecha de caducidad para este permiso. El servidor DHCP calcula la fecha de caducidad utilizando el tiempo de permiso. Si selecciona Permanent, no puede controlar el uso de la direccin IP a menos que active el registro de transacciones.
Cmo asignar una direccin IP coherente a un cliente DHCP (pntadm)

Defina los indicadores de permiso escribiendo un comando con el formato siguiente:

# pntadm -M ip-address -i client-id -f MANUAL+BOOTP network-address
Por ejemplo, para activar el cliente Solaris DHCP cuya direccin MAC es 08:00:20:94:12:1E para que reciba siempre la direccin IP 10.21.5.12, escriba: pntadm -M 10.21.5.12 -i 0108002094121E -f MANUAL+BOOTP 10.21.0.0
Consejo Consulte la entrada Client ID en la Tabla 154 para obtener ms informacin sobre cmo determinar los identificadores de cliente.
411
Uso de macros DHCP (mapa de tareas)

Las macros DHCP son contenedores de opciones DHCP. El servicio Solaris DHCP utiliza macros para recopilar las opciones que se deben transferir a los clientes. El Administrador de DHCP y la utilidad dhcpconfig crean una serie de macros automticamente al configurar el servidor. Consulte Macros DHCP en la pgina 329 para obtener ms informacin acerca de las macros. Consulte el Captulo 14, Configuracin del servicio DHCP (tareas) para obtener informacin sobre las macros que se crean de modo predeterminado. Cuando se producen cambios en la red, es posible que tenga que realizar cambios en la informacin de configuracin que se transfiere a los clientes. Para cambiar la informacin de configuracin, debe utilizar macros DHCP. Las macros DHCP se pueden ver, crear, modificar, duplicar y eliminar. Cuando se utilizan macros, debe conocer las opciones estndar de DHCP, que se describen en la pgina del comando man dhcp_inittab(4). El siguiente mapa de tareas enumera las tareas que permiten ver, crear, modificar y eliminar macros DHCP.
Ver macros DHCP.
Visualiza una lista de todas las macros Cmo visualizar las macros definidas en un servidor DHCP que se definen en el servidor DHCP. (Administrador de DHCP) en la pgina 413 Cmo ver las macros definidas en un servidor DHCP (dhtadm) en la pgina 414
Crear macros DHCP.
Crea nuevas macros para admitir clientes DHCP.
Cmo crear una macro DHCP (Administrador de DHCP) en la pgina 419 Cmo crear una macro DHCP (dhtadm ) en la pgina 420
Modificar valores que se transfieren en macros a los clientes DHCP.
Cambiar las macros modificando las opciones existentes, agregando opciones a las macros o eliminando opciones de las macros.
Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP) en la pgina 415 Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm) en la pgina 416 Cmo agregar opciones a una macro DHCP (Administrador de DHCP) en la pgina 416 Cmo agregar opciones a una macro DHCP (dhtadm) en la pgina 417 Como eliminar opciones de una macro DHCP (Administrador de DHCP) en la pgina 418 Como eliminar opciones de una macro DHCP (dhtadm) en la pgina 418
412
Tarea
Descripcin
Eliminar macros DHCP.
Elimina macros DHCP que ya no se utilizan.
Cmo eliminar una macro DHCP (Administrador de DHCP) en la pgina 421 Cmo eliminar una macro DHCP (dhtadm ) en la pgina 422
La figura siguiente muestra la ficha Macros del Administrador de DHCP.
FIGURA 1514
Ficha Macros del Administrador de DHCP
Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Macros. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. El rea Macros de la izquierda de la ventana incluye todas las macros definidas en el servidor DHCP, ordenadas alfabticamente. Las macros precedidas de un icono de carpeta incluyen referencias a otras macros, mientras que las que van precedidas de un icono de documento no hacen referencia a otras macros.
413
Para abrir una carpeta de macro, haga clic en el icono identificador a la izquierda del icono de carpeta. Se enumeran las macros que se incluyen en la macro seleccionada. Para ver el contenido de una macro, haga clic en su nombre. Se muestran las opciones y sus valores asignados.
Cmo ver las macros definidas en un servidor DHCP (dhtadm)

Visualice las macros con el siguiente comando:

# dhtadm -P
Este comando imprime como resultado estndar el contenido con formato de la tabla dhcptab, incluidas todas las macros y los smbolos definidos en el servidor DHCP.
Modificacin de macros DHCP

Puede modificar las macros cuando cambie algn aspecto de la red y uno o ms clientes DHCP deban conocer el cambio. Por ejemplo, puede agregar un encaminador o un servidor NIS, crear una subred nueva o cambiar la directiva de permisos. Antes de modificar una macro, determine el nombre de la opcin DHCP que desee cambiar, agregar o eliminar. Las opciones DHCP estndar se enumeran en la ayuda del Administrador de DHCP y en la pgina del comando man dhcp_inittab(4). Puede utilizar el comando dhtadm -M -m o el Administrador de DHCP para modificar las macros. Consulte la pgina del comando man dhtadm(1M) para obtener ms informacin sobre dhtadm . La figura siguiente muestra el cuadro de dilogo Macro Properties del Administrador de DHCP.
414
FIGURA 1515
Cuadro de dilogo Macro Properties del Administrador de DHCP
Cmo cambiar los valores de las opciones en una macro DHCP (Administrador de DHCP)
En el Administrador de DHCP, seleccione la ficha Macros. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
2 3
Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties.
En la tabla de opciones, seleccione la opcin que desee modificar. El nombre de la opcin y su valor se muestran en los campos Option Name y Option Value.
5 6
En el campo Option Value, seleccione el valor antiguo y escriba el nuevo valor para la opcin. Haga clic en Modify. El nuevo valor se muestra en la tabla de opciones.
Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
415
Cmo cambiar los valores de las opciones en una macro DHCP (dhtadm)
Cambie los valores de opciones escribiendo un comando con el formato siguiente:

# dhtadm -M -m macroname -e option=value:option=value -g
Por ejemplo, para cambiar el tiempo de permiso y el desfase de tiempo universal en la macro bluenote, escriba: # dhtadm -M -m bluenote -e LeaseTim=43200:UTCOffst=28800 -g
Cmo agregar opciones a una macro DHCP (Administrador de DHCP)

2 3
Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties.
416
En el campo Option Name, especifique el nombre de una opcin mediante uno de estos mtodos:
Haga clic en el botn Select junto al campo Option Name para seleccionar una opcin para agregar a la macro. El cuadro de dialogo Select Option muestra una lista ordenada alfabticamente con los nombres de opciones de categora estndar y sus descripciones. Si desea agregar una opcin que no estn en la categora estndar, utilice la lista Category para seleccionar una categora. Consulte Macros DHCP en la pgina 329 para obtener ms informacin acerca de las categoras de macros.
Escriba Include si desea incluir una referencia a una macro existente en la nueva macro.
Escriba el valor para la opcin en el campo Option Value. Si ha escrito Include como nombre de opcin, debe especificar el nombre de una macro existente en el campo Option Value. Haga clic en Add. La opcin se agrega en la parte inferior de la lista de opciones de esta macro. Para cambiar la posicin de la opcin en la macro, seleccione la opcin y haga clic en los botones de flecha para subir o bajar una opcin en la lista. Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
Cmo agregar opciones a una macro DHCP (dhtadm)

Agregue opciones a una macro escribiendo un comando con el formato siguiente:

# dhtadm -M -m macroname -e option=value -g
Por ejemplo, para agregar la posibilidad de negociar permisos en la macro bluenote, escriba el comando siguiente: # dhtadm -M -m bluenote -e LeaseNeg=_NULL_VALUE -g Si una opcin no requiere un valor, debe utilizar _NULL_VALUE como valor para la opcin.
Como eliminar opciones de una macro DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Macros. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Seleccione la macro que desee cambiar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Macro Properties. Seleccione la opcin que desea eliminar de la macro. Haga clic en Delete. La opcin se elimina de la lista de opciones para esta macro. Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
2 3
4 5
Como eliminar opciones de una macro DHCP (dhtadm)

418
Elimine una opcin de una macro escribiendo un comando con el formato siguiente:
# dhtadm -M -m macroname -e option= -g
Por ejemplo, para eliminar la posibilidad de negociar permisos en la macro bluenote, escriba el comando siguiente: # dhtadm -M -m bluenote -e LeaseNeg= -g Si se especifica una opcin sin ningn valor, la opcin se elimina de la macro.
Creacin de macros DHCP

Puede agregar nuevas macros en el servicio DHCP para que admitan clientes con necesidades especficas. Puede utilizar el comando dhtadm -A -m o el cuadro de dilogo Create Macro del Administrador de DHCP para agregar macros. Consulte la pgina del comando man dhtadm(1M) para obtener ms informacin sobre el comando dhtadm. La figura siguiente muestra el cuadro de dilogo Create Macro del Administrador DHCP.
FIGURA 1516
Cuadro de dilogo Create Macro del Administrador de DHCP
Cmo crear una macro DHCP (Administrador de DHCP)

Elija Crear en el men Editar. Se abrir el cuadro de dilogo Crear macro. Escriba un nombre exclusivo para la macro. El nombre puede tener hasta 128 caracteres alfanumricos. Si utiliza un nombre que coincida con un identificador de clase de proveedor, una direccin de red o un ID de cliente, la macro se procesa automticamente para los clientes adecuados. Si utiliza un nombre distinto, la macro no se procesa automticamente. La macro debe asignarse a una direccin IP especfica o incluirse en otra macro que se procese automticamente. Consulte Procesamiento de macros con el servidor DHCP en la pgina 330 para obtener informacin ms detallada. Haga clic en el botn Select, junto al campo Option Name. El cuadro de dilogo Select Option muestra una lista de los nombres de opciones de categoras estndar, ordenados alfabticamente, y sus descripciones. Si desea agregar una opcin que no estn en la categora estndar, utilice la lista Category. Seleccione la categora que desee en la lista Category. Consulte Opciones DHCP en la pgina 329 para obtener ms informacin sobre las categoras de opciones. Seleccione la opcin para agregar a la macro y haga clic en OK. El cuadro de dilogo Macro Properties muestra la opcin seleccionada en el campo Option Name. Escriba el valor para la opcin en el campo Option Value y haga clic en Add. La opcin se agrega en la parte inferior de la lista de opciones de esta macro. Para cambiar la posicin de la opcin en la macro, seleccione la opcin y haga clic en los botones de flecha para subir o bajar una opcin en la lista. Repita el Paso 5 y el Paso 6 para cada opcin que desee agregar a la macro. Seleccione Notify DHCP Server of Change cuando haya terminado de agregar opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK. Haga clic en Aceptar.
7 8
Cmo crear una macro DHCP (dhtadm )

Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365.
420
Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
2
Cree una macro escribiendo un comando con el formato siguiente:

# dhtadm -A -m macroname -d :option=value:option=value:option=value: -g
No hay ningn lmite para el nmero de pares opcin=valor que se puede incluir en el argumento para -d. El argumento debe empezar y acabar con dos puntos, y tener dos puntos entre cada par opcin=valor. La cadena completa debe incluirse entre comillas. Por ejemplo, para crear la macro bluenote, escriba el comando:
# dhtadm -A -m bluenote -d :Router=10.63.6.121\ :LeaseNeg=_NULL_VALUE:DNSserv=10.63.28 Si una opcin no requiere un valor, debe utilizar _NULL_VALUE como valor para la opcin.
Eliminacin de macros DHCP

Es posible eliminar una macro del servicio DHCP. Por ejemplo, si elimina una red del servicio DHCP, tambin puede eliminar la macro de red asociada. Puede utilizar el comando dhtadm -D -m o el Administrador de DHCP para eliminar macros.
Cmo eliminar una macro DHCP (Administrador de DHCP)

Seleccione la macro que va a eliminar. El cuadro de dilogo Delete Macro le solicita que confirme que desea eliminar la macro especificada.
Seleccione Notify DHCP Server of Change. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.

Uso de opciones DHCP (mapa de tareas)
Cmo eliminar una macro DHCP (dhtadm )

Elimine una macro escribiendo un comando con el formato siguiente:

# dhtadm -D -m macroname -g
Por ejemplo, para eliminar la macro bluenote, debe escribir el comando siguiente: # dhtadm -D -m bluenote -g

Las opciones son palabras clave para los parmetros de configuracin de red que el servidor DHCP puede transferir a los clientes. En el servicio Solaris DHCP, no puede crear, eliminar ni modificar las opciones DHCP estndar. Las opciones estndar se definen mediante el protocolo DHCP, de modo que las opciones no pueden cambiar. Slo puede realizar tareas en las opciones que cree para el sitio. Por este motivo, al configurar por primera vez el servicio DHCP, la ficha Options del Administrador de DHCP est vaca hasta que se crean las opciones para el sitio. Si crea opciones en el servidor DHCP, tambin debe agregar informacin sobre las opciones en el cliente DHCP. Para el cliente Solaris DHCP, debe editar el archivo /etc/dhcp/inittab para agregar entradas para las nuevas opciones. Consulte la pgina del comando man dhcp_inittab(4) para obtener ms informacin sobre este archivo. Si tiene clientes DHCP que no son clientes de Solaris, consulte la documentacin de los clientes para obtener informacin sobre cmo agregar opciones o smbolos. Consulte Opciones DHCP en la pgina 329 para obtener ms informacin sobre las opciones de Solaris DHCP. Puede utilizar el Administrador de DHCP o el comando dhtadm para crear, modificar o eliminar opciones.
Consejo Las opciones se denominan smbolos en la documentacin sobre DHCP. El comando dhtadm y su pgina del comando man relacionada tambin hacen referencia a las opciones como smbolos.
422
El siguiente mapa de tareas incluye las tareas que debe realizar para crear, modificar y eliminar opciones DHCP. El mapa de tareas contiene vnculos a los procedimientos necesarios para realizar las tareas.
Crear opciones DHCP.
Agrega nuevas opciones para la informacin Cmo crear opciones DHCP (Administrador que no cubre una opcin DHCP estndar. de DHCP) en la pgina 426 Cmo crear opciones DHCP (dhtadm ) en la pgina 427 Modificacin de la informacin de opcin del cliente Solaris DHCP en la pgina 431
Modificar opciones DHCP.
Cambia las propiedades de las opciones DHCP que se han creado.
Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) en la pgina 428 Cmo modificar las propiedades de opciones DHCP ( dhtadm) en la pgina 429
Eliminar opciones DHCP.
Elimina las opciones DHCP que se han creado.
Cmo eliminar opciones DHCP (Administrador de DHCP) en la pgina 430 Cmo eliminar opciones DHCP (dhtadm ) en la pgina 431
Antes de crear opciones DHCP, debe estar familiarizado con las propiedades de las opciones que se incluyen en la tabla siguiente.
TABLA 155
Propiedades de opciones DHCP

Descripcin
Propiedad de opcin
Category
La categora de una opcin debe ser una de las siguientes: Vendor: opciones especficas para la plataforma de proveedor de un cliente, tanto si es hardware como software.

Site: opciones especficas del sitio. Extend: opciones ms recientes incorporadas al protocolo DHCP, pero que todava no se han implementado como opciones estndar en Solaris DHCP.
423
TABLA 155

Descripcin
(Continuacin)
Propiedad de opcin
Cdigo
El cdigo es un nmero exclusivo que se asigna a una opcin. No es posible utilizar el mismo cdigo para cualquier otra opcin dentro de su categora de opcin. El cdigo debe ser adecuado para la categora de opcin: Vendor: valores de cdigo del 1 al 254 para cada clase de proveedor Site: valores de cdigo del 128 al 254 Extend: valores de cdigo del 77 al 127 El tipo de datos especifica la clase de datos que se pueden asignar como valor para la opcin. En la lista siguiente se incluyen los tipos de datos vlidos. ASCII: valor de cadena de texto.
Data type
BOOLEAN: no se asocia ningn valor con el tipo de datos booleano. Si la opcin est presente, significa que una condicin es verdadera, y si est ausente, indica que una condicin es falsa. Por ejemplo, la opcin Hostname es booleana. La presencia de Hostname en una macro hace que el servidor DHCP busque el nombre de host asociado con la direccin asignada. IP: una o ms direcciones IP, en formato decimal con punto (xxx.xxx.xxx.xxx). OCTET: representacin ASCII no interpretada de datos binarios. Por ejemplo, un ID de cliente utiliza el tipo de datos de octetos. Los caracteres vlidos son 09, AF y af. Se necesitan dos caracteres ASCII para representar una cantidad de 8 bits. UNUMBER8, UNUMBER16, UNUMBER32, UNUMBER64, SNUMBER8, SNUMBER16, SNUMBER32 o SNUMBER64: valor numrico. Una U o S iniciales indican si el nmero est firmado o no. Los dgitos al final indican cuntos bits hay en el nmero.
Granularidad
La granularidad especifica cuntas "instancias" del tipo de datos se necesitan para representar un valor de opcin completo. Por ejemplo, un tipo de datos de IP y una granularidad de 2 indicara que el valor de opcin debe contener dos direcciones IP. El nmero mximo de valores que se puede especificar para la opcin. Por ejemplo, supongamos que el mximo es 2, la granularidad es 2 y el tipo de datos es IP. En ese caso, el valor de opcin podra contener un mximo de dos pares de direcciones IP.
Mximo
424
TABLA 155

Descripcin
(Continuacin)
Propiedad de opcin
Clases de cliente del proveedor
Esta opcin slo est disponible cuando la categora de opcin es Proveedor. Las clases de cliente del proveedor identifican las clases de cliente con las que est asociada la opcin Proveedor. La clase es una cadena ASCII que representa el sistema operativo o el tipo de equipo del cliente. Por ejemplo, la cadena de clase para algunos modelos de estaciones de trabajo de Sun es SUNW.Sun-Blade-100 . Este tipo de opcin permite definir los parmetros de configuracin que se transfieren a los clientes de la misma clase, y slo a los clientes de esa clase. Puede especificar varias clases de cliente. Slo los clientes DHCP con un valor de clase de cliente que coincida con la clase que se especifique recibirn las opciones previstas para esa clase. La clase de cliente la determina el proveedor del cliente DHCP. Para los clientes DHCP que no sean clientes de Solaris, consulte la documentacin del proveedor para el cliente DHCP de la clase de cliente. Para los clientes de Solaris, la clase de cliente Proveedor puede obtenerse mediante el comando uname -i del cliente. Para especificar la clase de cliente Proveedor, sustituya los puntos por las comas de la cadena que devuelve el comando uname. Por ejemplo, si la cadena SUNW,Sun-Blade-100 la devuelve el comando uname -i, debe especificar la clase de cliente Proveedor como SUNW.Sun-Blade-100.
Creacin de opciones DHCP

Si necesita transferir informacin de cliente para la que todava no hay una opcin en el protocolo DHCP, puede crear una opcin. Consulte la pgina del comando man dhcp_inittab(4) para ver una lista de las opciones que se definen en Solaris DHCP antes de crear su propia opcin. Puede utilizar el comando dhtadm -A -s o el cuadro de dilogo Create Option del Administrador de DHCP para crear opciones nuevas. La figura siguiente muestra el cuadro de dilogo Create Option del Administrador de DHCP.
425
FIGURA 1517
Cuadro de dilogo Create Option del Administrador de DHCP
Cmo crear opciones DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Options. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Elija Crear en el men Editar. Se abrir el cuadro de dilogo Create Options.
Incluya una breve descripcin para la nueva opcin. El nombre puede contener hasta 128 caracteres alfanumricos y espacios.
Escriba o seleccione valores para cada parmetro del cuadro de dilogo. Consulte la Tabla 155 para obtener informacin sobre cada parmetro, o visualice la ayuda del Administrador de DHCP.
Seleccione Notify DHCP Server of Change si ha terminado de crear las opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
Haga clic en Aceptar. Ahora puede agregar la opcin a las macros, y asignar un valor a la opcin para transferir a los clientes.
426
Cmo crear opciones DHCP (dhtadm )

Cree una opcin DHCP escribiendo un comando con el siguiente formato:

# dhtadm -A -s option-name -d category,code,data-type,granularity,maximum -g
nombre_opcin categora
Es una cadena alfanumrica de 128 caracteres menos. Es una de las siguientes: Site, Extend o Vendor=lista_clases . lista_clases es una lista separada por espacios de clases de cliente de proveedor a la que se aplica la opcin. Consulte la Tabla 155 para obtener informacin sobre cmo determinar la clase de cliente de proveedor. Es un valor numrico apropiado para la categora de opcin, tal como se explica en la Tabla 155. Se especifica mediante una palabra clave que indica el tipo de datos que se transfiere con la opcin, tal como se describe en la Tabla 155. Se especifica como nmero no negativo, como se explica en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155.
cdigo tipo_datos granularidad mximo

Ejemplo 153
Creacin de una opcin DHCP con dhtadm

El comando siguiente creara una opcin denominada NewOpt, que es una opcin de categora Sitio. El cdigo de la opcin es 130. El valor de la opcin se puede configurar como un nico entero de 8 bits sin firmar. # dhtadm -A -s NewOpt -d Site,130,UNUMBER8,1,1 -g El comando siguiente creara una opcin denominada NewServ, que es una opcin de categora Proveedor que se aplica a los clientes cuyo tipo de equipo es SUNW,Sun-Blade-100 o SUNW,Sun-Blade-1000 . El cdigo de la opcin es 200. El valor de la opcin se puede configurar como una direccin IP. # dhtadm -A -s NewServ -d Vendor=SUNW.Sun-Blade-100 \ SUNW.Sun-Blade-1000,200,IP,1,1
427
Modificacin de opciones DHCP

Si ha creado opciones para el servicio DHCP, puede cambiar las propiedades de dichas opciones. Puede utilizar el comando dhtadm -M -s o el cuadro de dilogo Option Properties del Administrador de DHCP para modificar las opciones. Tenga en cuenta que debe modificar la informacin de opcin del cliente Solaris DHCP para reflejar la misma modificacin realizada en el servicio DHCP. Consulte Modificacin de la informacin de opcin del cliente Solaris DHCP en la pgina 431. La figura siguiente muestra el cuadro de dilogo Option Properties del Administrador de DHCP.
FIGURA 1518
Cuadro de dilogo Option Properties del Administrador de DHCP
Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Options. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Seleccione la opcin que desea modificar. Elija Properties en el men Edit. Se abrir el cuadro de dilogo Option Properties.
2 3
428
Edite las propiedades segn precise. Consulte la Tabla 155 para obtener informacin sobre las propiedades, o visualice la ayuda del Administrador de DHCP. Seleccione Notify DHCP Server of Change cuando haya terminado de configurar las opciones. El cambio se realiza en la tabla dhcptab. El servidor DHCP vuelve a leer la tabla dhcptab para aplicar los cambios. Haga clic en Aceptar.
Cmo modificar las propiedades de opciones DHCP ( dhtadm)

Modifique una opcin escribiendo un comando con el siguiente formato:

# dhtadm -M -s option-name -d category,code,data-type,granularity,maximum -g
nombre_opcin categora
Especifica el nombre de la opcin que se desea modificar. Puede ser Site, Extend o Vendor=lista_clases. lista_clases es una lista separada por espacios de clases de cliente de proveedor a la que se aplica la opcin. Por ejemplo, SUNW.Sun-Blade-100 SUNW.Ultra-80 SUNWi86pc. Especifica un valor numrico apropiado para la categora de opcin, tal como se explica en la Tabla 155. Especifica una palabra clave que indica el tipo de datos que se transfiere con la opcin, tal como se describe en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155. Es un nmero no negativo, como se explica en la Tabla 155.
cdigo tipo_datos granularidad mximo
Debe especificar todas las propiedades de opciones DHCP con el conmutador -d, no slo las propiedades que se desea modificar.
429
Ejemplo 154
Modificacin de una opcin DHCP con dhtadm

El comando siguiente modificara una opcin denominada NewOpt . La opcin es una opcin de categora Sitio. El cdigo de la opcin es 135. El valor de la opcin se puede configurar como un nico entero de 8 bits sin firmar. # dhtadm -M -s NewOpt -d Site,135,UNUMBER8,1,1 El comando siguiente modificara una opcin denominada NewServ, que es una opcin de categora Proveedor. La opcin ahora se aplica a los clientes cuyo tipo de equipo es SUNW,Sun-Blade-100 o SUNW,i86pc. El cdigo de la opcin es 200. El valor de la opcin se puede configurar como una direccin IP. # dhtadm -M -s NewServ -d Vendor=SUNW.Sun-Blade-100 \ SUNW.i86pc,200,IP,1,1 -g
Eliminacin de opciones DHCP

No puede eliminar opciones DHCP estndar. Sin embargo, si ha definido opciones para el servicio DHCP, puede eliminarlas utilizando el Administrador de DHCP o el comando dhtadm.
Cmo eliminar opciones DHCP (Administrador de DHCP)

En el Administrador de DHCP, seleccione la ficha Options. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Seleccione la opcin que desea eliminar. Elija Delete en el men Edit. Se abrir el cuadro de dilogo Delete Option. Seleccione Notify DHCP Server of Change cuando haya terminado de eliminar las opciones. Esta seleccin indica al servidor DHCP que debe volver a leer la tabla dhcptab para aplicar el cambio inmediatamente despus de hacer clic en OK.
2 3
430
Instalacin en red de Solaris con el servicio DHCP
Cmo eliminar opciones DHCP (dhtadm )

Elimine una opcin DHCP escribiendo un comando con el formato siguiente:

# dhtadm -D -s option-name -g
Modificacin de la informacin de opcin del cliente Solaris DHCP

Si agrega una nueva opcin DHCP al servidor DHCP, debe agregar una entrada complementaria a la informacin de opcin de cada cliente DHCP. Si tiene un cliente DHCP que no es un cliente Solaris DHCP, consulte la documentacin de dicho cliente para obtener informacin sobre cmo agregar opciones o smbolos. En un cliente Solaris DHCP, debe editar el archivo /etc/dhcp/inittab y agregar una entrada para cada opcin que agregue al servidor DHCP. Si modifica ms adelante la opcin en el servidor, tambin debe modificar la entrada en el archivo /etc/dhcp/inittab del cliente. Consulte la pgina del comando man dhcp_inittab(4) para obtener informacin ms detallada sobre la sintaxis del archivo /etc/dhcp/inittab.
Nota Si ha agregado opciones DHCP al archivo dhcptags en una versin anterior de Solaris, debe agregar las opciones al archivo /etc/dhcp/inittab. Consulte Informacin de opciones DHCP en la pgina 499 para obtener ms informacin.
Instalacin en red de Solaris con el servicio DHCP

Puede utilizar DHCP para instalar el sistema operativo Solaris en determinados sistemas de cliente de la red. Slo los sistemas basados en sun4u y en x86 que se ajustan a los requisitos de hardware para ejecutar el sistema operativo Solaris pueden utilizar esta funcin. Para obtener informacin sobre cmo utilizar DHCP para configurar automticamente los sistemas clientes
431
Arranque remoto y clientes de arranque sin disco (mapa de tareas)
para la red durante el arranque, consulte el Captulo 6, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Solaris 10: instalaciones basadas en red. DHCP tambin admite sistemas de cliente de Solaris que se arrancan e instalan remotamente desde los servidores en una red de rea extensa (WAN) utilizando HTTP. Este mtodo de arranque e instalacin remotos se denomina mtodo de instalacin de arranque WAN. El arranque WAN permite instalar el sistema operativo Solaris en sistemas basados en SPARC en una red pblica extensa donde la infraestructura de red puede que sea poco fiable. Se puede utilizar el arranque WAN con funciones de seguridad para proteger la confidencialidad de los datos y la integridad de la imagen de instalacin. Antes de utilizar DHCP para arrancar e instalar sistemas de clientes remotamente utilizando un arranque WAN, el servidor DHCP debe configurarse para proporcionar la siguiente informacin a los clientes:

La direccin IP del servidor proxy La ubicacin del programa wanbootcgi
Para obtener detalles sobre cmo configurar el servidor DHCP para proporcionar esta informacin, consulte el Captulo 6, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Solaris 10: instalaciones basadas en red. Para obtener informacin sobre cmo arrancar e instalar sistemas cliente con un servidor DHCP a travs de una WAN, consulte el Captulo 11, Arranque WAN (informacin general) de Gua de instalacin de Solaris 10: instalaciones basadas en red. Para obtener informacin sobre los clientes sin disco, consulte Arranque remoto y clientes de arranque sin disco (mapa de tareas) en la pgina 432.

El servicio Solaris DHCP puede admitir sistemas de cliente Solaris que monten sus sistemas operativos remotamente desde otro equipo (el servidor del sistema operativo). Dichos clientes se denominan normalmente clientes sin discos. Los clientes sin discos se pueden considerar clientes de arranque remoto persistentes. Cada vez que se arranca un cliente sin disco, el cliente debe obtener el nombre y la direccin IP del servidor en el que se alojan los archivos del sistema operativo del cliente. A continuacin, el cliente sin disco se puede arrancar remotamente desde esos archivos. Cada cliente sin disco tiene su propia particin raz en el servidor del sistema operativo, que se comparte con el nombre de host del cliente. El servidor DHCP siempre debe devolver la misma direccin IP a un cliente sin disco. Dicha direccin debe permanecer asignada al mismo
432
nombre de host del servicio de nombres, como DNS. Si un cliente sin disco recibe una direccin IP coherente, el cliente utiliza un nombre de host coherente, y puede acceder a su particin raz en el servidor del sistema operativo. Adems de proporcionar la direccin IP y el nombre de host, el servidor DHCP puede proporcionar la ubicacin de los archivos del sistema operativo del cliente sin disco. Sin embargo, debe crear opciones y macros para transferir la informacin en un paquete de mensajes DHCP. El siguiente mapa de tareas enumera las tareas necesarias para admitir clientes sin disco o cualquier cliente de arranque remoto persistente. El mapa de tareas tambin contiene enlaces a procedimientos que permiten llevar a cabo las tareas.
Configurar servicios de sistema operativo en un servidor Solaris.
Utilice el comando smosservice para crear Captulo 7, Managing Diskless Clients archivos de sistema operativo para los (Tasks) de System Administration Guide: clientes. Basic Administration Asimismo, consulte la pgina del comando man smosservice(1M).
Configurar el servicio DHCP para admitir clientes de arranque de red.
Utilice el Administrador de DHCP o el comando dhtadm para crear macros y opciones del proveedor, que el servidor DHCP puede utilizar para transferir informacin de arranque a los clientes. Si ya ha creado las opciones para los clientes de instalacin de red, slo debe crear las macros de los tipos de cliente de proveedor de los clientes sin disco.
Captulo 6, Preconfiguracin de la informacin de configuracin del sistema (tareas) de Gua de instalacin de Solaris 10: instalaciones basadas en red
Asignar direcciones IP reservadas a los clientes sin disco.
Utilice el Administrador de DHCP para marcar la direccin como reservada, o utilice el comando pntadm para marcar direcciones como MANUAL para los clientes sin disco. Utilice el comando smdiskless para incluir compatibilidad con el sistema operativo en el servidor de sistema operativo para cada cliente. Especifique las direcciones IP que ha reservado para cada cliente.
Asignacin de una direccin IP reservada a un cliente DHCP en la pgina 409
Configurar clientes sin disco para el servicio de sistema operativo.
Captulo 7, Managing Diskless Clients (Tasks) de System Administration Guide: Basic Administration Asimismo, consulte la pgina del comando man smdiskless(1M).
433
Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas)
Configuracin de clientes DHCP slo para recibir informacin (mapa de tareas)

En algunas redes, el servicio DHCP slo puede proporcionar informacin de configuracin a los clientes. Los sistemas cliente que necesitan informacin, no permisos, pueden utilizar el cliente DHCP para emitir un mensaje INFORM. El mensaje INFORM solicita al servidor DHCP que enve la informacin de configuracin adecuada al cliente. Puede configurar el servidor Solaris DHCP para admitir clientes que slo necesiten informacin. Debe crear una tabla de red vaca que se corresponda a la red que aloja a los clientes. La tabla debe existir para que el servidor DHCP pueda responder a los clientes de dicha red. El siguiente mapa de tareas enumera las tareas necesarias para admitir clientes slo de informacin. El mapa de tareas tambin incluye enlaces a procedimientos que permiten llevar a cabo las tareas.
Crear una tabla de red vaca.
Utilice el Administrador de DHCP o el comando pntadm para crear una tabla de red para la red de clientes slo de informacin.
Cmo agregar redes DHCP en la pgina 385
Crear macros para incluir la Utilice el Administrador de DHCP o el informacin que necesitan los comando dhtadm para crear macros que clientes. transfieran la informacin necesaria a los clientes. Configurar el cliente DHCP para que emita un mensaje INFORM.
Creacin de macros DHCP en la pgina 419
Utilice el comando ifconfig int dhcp inform Inicio de cliente DHCP en la pgina 450 para que el cliente DHCP emita un mensaje Opciones del comando ifconfig que se utilizan INFORM. con el cliente DHCP en la pgina 455 Pgina del comando man ifconfig(1M)
Conversin a un nuevo almacn de datos DHCP

Solaris DHCP proporciona una utilidad para convertir los datos de configuracin de DHCP de un almacn de datos a otro. Existen distintos motivos para convertir a un nuevo almacn de datos. Por ejemplo, puede tener ms clientes DHCP, que requieran un mayor rendimiento o ms capacidad del servicio DHCP. Tambin puede repartir las tareas del servidor DHCP entre distintos servidores. Consulte Seleccin del almacn de datos DHCP en la pgina 339 para ver una comparacin de las ventajas y desventajas de cada tipo de almacn de datos.
434
Nota Si ha actualizado de una versin de Solaris anterior a Solaris 8 7/01, debe leer esta nota.
Si ejecuta una herramienta de Solaris DHCP tras la instalacin de Solaris, se le pedir que convierta al nuevo almacn de datos. La conversin es necesaria porque el formato de los datos almacenados en ambos archivos y NIS+ ha cambiado en Solaris 8 7/01. Si no convierte al nuevo almacn de datos, el servidor DHCP seguir leyendo las tablas de datos antiguas. Sin embargo, el servidor slo puede otorgar permisos para los clientes existentes. No puede registrar nuevos clientes DHCP ni utilizar herramientas de administracin de DHCP con las tablas de datos antiguas. La utilidad de conversin tambin resulta til para los sitios que convierten de un almacn de datos proporcionado por Sun a un almacn de datos de otro proveedor. La utilidad de conversin busca entradas en el almacn de datos existente y agrega nuevas entradas que contienen los mismos datos al nuevo almacn de datos. El acceso al almacn de datos se implementa en mdulos separados para cada almacn de datos. Este enfoque modular permite a la utilidad de conversin convertir datos DHCP de cualquier formato de almacn de datos a otro diferente. Cada almacn de datos debe tener un mdulo que pueda utilizar el servicio DHCP. Consulte Solaris DHCP Service Developers Guide para obtener ms informacin sobre cmo escribir un mdulo para que admita un almacn de datos de terceros. La conversin del almacn de datos se puede llevar a cabo con el Administrador de DHCP mediante el asistente Data Store Conversion o con el comando dhcpconfig -C. La figura siguiente muestra el cuadro de dilogo inicial del asistente Data Store Conversion.
435
FIGURA 1519
Cuadro de dilogo Data Store Conversion del Administrador de DHCP
Antes de que comience la conversin, debe especificar si desea guardar las tablas de los antiguos almacenes de datos (dhcptab y tablas de red). La utilidad de conversin detiene el servidor DHCP, convierte el almacn de datos y reinicia el servidor cuando la conversin se ha completado correctamente. Si no ha especificado que se guarden las tablas antiguas, la utilidad elimina las tablas despus de determinar que la conversin se ha realizado correctamente. El proceso de conversin puede requerir mucho tiempo. La conversin se ejecuta en segundo plano e incluye una indicacin del progreso.
Cmo convertir el almacn de datos DHCP (Administrador de DHCP)

En el Administrador de DHCP, elija Convert Data Store en el men Service. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Se abrir el asistente Data Store Conversion.
Responda a las preguntas del asistente. Si no conoce la informacin que se le solicita, haga clic en Help para ver informacin detallada sobre cada cuadro de dilogo.
436
Transferencia de datos de configuracin entre servidores DHCP (mapa de tareas)
Revise sus selecciones y haga clic en Finish para convertir el almacn de datos. El servidor DHCP se reinicia cuando finaliza la conversin. El servidor utiliza de inmediato el nuevo almacn de datos.
Cmo convertir el almacn de datos DHCP (dhcpconfig -C)

Convierta el almacn de datos escribiendo un comando con el formato siguiente:

# /usr/sbin/dhcpconfig -C -r resource -p path
recurso ruta
es el nuevo tipo de almacn de datos, como SUNWbinfiles es la ruta a los datos, como /var/dhcp
Si desea conservar los datos originales del antiguo almacn de datos tras la conversin, especifique la opcin -k. Por ejemplo, para convertir el almacn de datos a SUNWbinfiles y guardar el anterior, escriba:
# /usr/sbin/dhcpconfig -C -r SUNWbinfiles -p /var/dhcp -k
Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre la utilidad dhcpconfig.

El Administrador de DHCP y la utilidad dhcpconfig permiten transferir todos o parte de los datos de configuracin de DHCP de un servidor Solaris DHCP a otro servidor. Puede transferir redes completas y todas las direcciones IP, macros y opciones asociadas con las redes. Tambin puede seleccionar direcciones IP especficas, macros y opciones que transferir. Tambin puede copiar macros y opciones sin eliminarlas del primer servidor.
437
Es posible transferir datos si va a realizar alguna de las tareas siguientes:

Agregar un servidor para compartir las tareas de DHCP. Reemplazar el sistema del servidor DHCP. Cambiar la ruta del almacn de datos, mientras se sigue utilizando el mismo almacn de datos.
El siguiente mapa de tareas identifica los procedimientos que debe seguir al transferir datos de configuracin de DHCP.
1. Exportar los datos del primer Selecciona los datos que desea transferir a servidor. otro servidor y crea un archivo con los datos exportados.
Cmo exportar datos de un servidor DHCP (Administrador de DHCP) en la pgina 440 Cmo exportar datos de un servidor DHCP (dhcpconfig -X) en la pgina 440 Cmo importar datos en un servidor DHCP (Administrador de DHCP) en la pgina 442 Cmo importar datos en un servidor DHCP (dhcpconfig -I) en la pgina 442
2. Importar los datos al segundo servidor.
Copia los datos exportados a otro almacn de datos del servidor DHCP.
3. Modificar los datos importados para el nuevo entorno de servidor.
Cambia los datos de configuracin especficos del servidor para que coincidan con la informacin del nuevo servidor.
Cmo modificar datos de DHCP importados (Administrador de DHCP) en la pgina 443 Cmo modificar datos DHCP importados ( pntadm, dhtadm) en la pgina 444
En el Administrador de DHCP, utilice el asistente Export Data y el asistente Import Data para transferir los datos de un servidor a otro. A continuacin, modifique las macros en la ficha Macros. Las siguientes figuras muestran los cuadros de dilogo iniciales de los asistentes.
438
FIGURA 1520
Cuadro de dilogo del asistente Export Data del Administrador de DHCP
FIGURA 1521
Cuadro de dilogo del asistente Import Data del Administrador de DHCP
439
Cmo exportar datos de un servidor DHCP (Administrador de DHCP)

Inicie el Administrador de datos de DHCP en el servidor desde el que desea transferir o copiar los datos. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Elija Export Data en el men Service. Se abrir el asistente Export Data tal como se muestra en la Figura 1520.
Responda a las preguntas del asistente. Si no conoce la respuesta, haga clic en Help para obtener informacin detallada sobre las preguntas.
Transfiera el archivo de exportacin a un sistema de archivos al que pueda acceder el servidor DHCP que debe importar los datos. Importe los datos tal como se describe en Cmo importar datos en un servidor DHCP (Administrador de DHCP) en la pgina 442.
Vase tambin
Cmo exportar datos de un servidor DHCP (dhcpconfig -X)

Inicie sesin en el servidor desde el que desea transferir o copiar los datos. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
1 2
440
Exporte los datos. Puede exportar todos los datos de DHCP o partes especficas de los datos.
Para exportar direcciones, macros y opciones especficas, escriba un comando que utilice el formato siguiente:
# dhcpconfig -X filename -a network-addresses -m macros -o options
nombre_archivo es el nombre de ruta completo que desea utilizar para almacenar los datos exportados comprimidos. Las direcciones de red, macros DHCP y opciones DHCP concretas se especifican en listas separadas con comas. El ejemplo siguiente muestra cmo exportar redes, macros y opciones especficas.
# dhcpconfig -X /var/dhcp/0dhcp1065_data \ -a 10.63.0.0,10.62.0.0 \ -m 10.63.0.0,10.
Para exportar todos los datos de DHCP, escriba un comando que utilice la palabra clave ALL.
# dhcpconfig -X filename -a ALL -m ALL -o ALL
nombre_archivo es el nombre de ruta completo que desea utilizar para almacenar los datos exportados comprimidos. La palabra clave ALL puede utilizarse con las opciones de comandos para exportar todas las opciones, macros y direcciones de red. El ejemplo siguiente muestra cmo utilizar la palabra clave ALL. # dhcpconfig -X /var/dhcp/dhcp1065_data -a ALL -m ALL -o ALL
Consejo Puede omitir la exportacin de un tipo de datos concreto si no especifica la opcin de comando dhcpconfig para ese tipo de datos. Por ejemplo, si no especifica la opcin -m, no se exportar ninguna macro DHCP.
Consulte la pgina del comando man dhcpconfig(1M) para obtener ms informacin sobre el comando dhcpconfig.
4
Transfiera el archivo de exportacin a una ubicacin a la que pueda acceder el servidor que debe importar los datos. Importe los datos de acuerdo con lo descrito en Cmo importar datos en un servidor DHCP (dhcpconfig -I) en la pgina 442.
Vase tambin
441
Cmo importar datos en un servidor DHCP (Administrador de DHCP)

Inicie el Administrador de DHCP en el servidor al que desee transferir los datos que export previamente de un servidor DHCP. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP. Elija Import Data en el men Service. Se abrir el asistente Import Data tal como se muestra en la Figura 1521. Responda a las preguntas del asistente. Si no conoce la respuesta, haga clic en Help para obtener informacin detallada sobre las preguntas. Modifique los datos importados, si es preciso. Consulte Cmo modificar datos de DHCP importados (Administrador de DHCP) en la pgina 443
Cmo importar datos en un servidor DHCP (dhcpconfig -I)

Inicie sesin en el servidor al que desea importar los datos. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
1 2
Importe los datos escribiendo un comando con el formato siguiente:

# dhcpconfig -I filename
nombre_archivo es el nombre del archivo que contiene los datos exportados.

4
Modifique los datos importados, si es preciso. Consulte Cmo modificar datos DHCP importados ( pntadm, dhtadm) en la pgina 444.
442
Cmo modificar datos de DHCP importados (Administrador de DHCP)

Inicie el Administrador de DHCP en el servidor al que import los datos. Consulte Cmo iniciar y detener el Administrador de DHCP en la pgina 364 para obtener informacin sobre el Administrador de DHCP.
Busque en los datos importados informacin especfica de la red que se deba modificar. Por ejemplo, si ha movido redes, debe abrir la ficha Addresses y cambiar el servidor propietario de las direcciones en las redes importadas. Tambin puede abrir la ficha Macros para especificar los nombres de dominio correctos para NIS, NIS+ o DNS en algunas macros.
3 4
Abra la ficha Addresses y seleccione una red que haya importado. Para seleccionar todas las direcciones, haga clic en la primera direccin, mantenga pulsada la tecla Mays y elija la ltima direccin. En el men Edit, elija Properties. Se abrir el cuadro de dilogo Modify Multiple Addresses.
6 7
En el indicador Managing Server, seleccione el nombre del nuevo servidor. En el indicador Configuration Macro, seleccione la macro que se vaya a utilizar para todos los clientes de esta red y haga clic en OK. Abra la ficha Macros. Utilice el botn Find para buscar las opciones que probablemente se deban modificar. El botn Find se encuentra en la parte inferior de la ventana. DNSdmain, DNSserv , NISservs, NIS+serv y NISdmain son ejemplos de opciones que pueden requerir modificaciones en el nuevo servidor.
8 9
10
Cambie las opciones de las macros deseadas. Consulte Cmo modificar las propiedades de opciones DHCP (Administrador de DHCP) en la pgina 428 para conocer el procedimiento que debe seguir para cambiar opciones.
443
Cmo modificar datos DHCP importados ( pntadm, dhtadm)

Inicie sesin en el servidor al que ha importado los datos. Convirtase en superusuario o asuma un rol o nombre de usuario asignado al perfil de administracin de DHCP. Para obtener ms informacin acerca del perfil de administracin de DHCP, consulte Configuracin del acceso de usuario a los comandos de DHCP en la pgina 365. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
1 2
Busque en las tablas de red los datos que se deben modificar. Si ha transferido redes, utilice el comando pntadm -P direccin_red para imprimir las tablas de red para las redes que se han transferido. Modifique la informacin de la direccin IP con el comando pntadm. El servidor propietario y la macro de configuracin se pueden cambiar para las direcciones importadas. Por ejemplo, para cambiar el servidor propietario (10.60.3.4) y la macro (dhcpsrv-1060) for address 10.63.0.2, utilice el comando siguiente: pntadm -M 10.63.0.2 -s 10.60.3.4 -m dhcpsrv-1060 10.60.0.0 Si tiene una gran cantidad de direcciones, debe crear un archivo de secuencia que contenga los comandos para modificar cada direccin. Ejecute la secuencia con el comando pntadm -B, que ejecuta pntadm en modo de ejecucin por lotes. Consulte la pgina del comando man pntadm(1M).
Busque en las macros dhcptab opciones con valores que necesiten modificarse. Utilice el comando dhtadm -P para imprimir la tabla dhcptab completa en pantalla. Utilice grep u otra herramienta para buscar opciones o valores que desee cambiar. Si es preciso, modifique las opciones de las macros utilizando el comando dhtadm -M. Por ejemplo, puede modificar algunas macros para especificar los servidores y nombres de dominio correctos para NIS, NIS+ o DNS. Por ejemplo, el siguiente comando cambia los valores de DNSdmain y DNSserv en la macro mymacro: dhtadm -M -m mymacro -e DNSserv=dnssrv2:DNSdmain=example.net -g
444
16
C A P T U L O
1 6
Configuracin y administracin del cliente DHCP
En este captulo se comenta el cliente del Protocolo de configuracin dinmica de host (DHCP) que forma parte del sistema operativo Solaris. En el captulo se explica el funcionamiento de los protocolos DHCPv4 y DHCPv6 del cliente y la forma de modificar el comportamiento de este. Uno de los protocolos, DHCPv4, forma parte del sistema operativo Solaris (SO Solaris) desde hace tiempo, y permite a los servidores DHCP pasar parmetros de configuracin como direcciones de red IPv4 a nodos IPv4. El otro, DHCPv6, permite a los servidores DHCP pasar parmetros de configuracin, como direcciones de red IPv6, a nodos IPv6. DHCPv6 es una contrapartida con estado a IPv6 Stateless Address Autoconfiguration (RFC 2462), y se puede utilizar de forma independiente o conjuntamente con la sin estado para obtener parmetros de configuracin. Este captulo contiene la informacin siguiente:

Acerca del cliente DHCP de Solaris en la pgina 445 Activacin y desactivacin de un cliente DHCP de Solaris en la pgina 453 Administracin del cliente DHCP en la pgina 455 Sistemas cliente DHCP con varias interfaces de red en la pgina 457 Nombres de host de cliente DHCPv4 en la pgina 458 Sistemas cliente DHCP y servicios de nombres en la pgina 459 Secuencias de eventos de cliente DHCP en la pgina 464
Acerca del cliente DHCP de Solaris

El cliente DHCP de Solaris es el daemon dhcpagent, que forma parte del SO Solaris. Al instalar Solaris se le solicitar que utilice DHCP para configurar las interfaces de red. Si especifica S para DHCPv4, el protocolo se activa en su sistema durante la instalacin de Solaris. No hay opciones de instalacin especficas para DHCPv6. Pero hay una cuestin relacionada acerca de IPv6. Si activa IPv6, DHCPv6 se activar tambin en una red local compatible con DHCPv6.
445
No es necesario hacer nada ms con el cliente Solaris para utilizar DHCP. La configuracin del servidor DHCP determina la informacin que se proporciona a los sistemas cliente DHCP que utilizan el servicio DHCP. Si un sistema cliente ya est ejecutando el SO Solaris pero no utiliza DHCP, se puede reconfigurar para que lo utilice. Tambin se puede reconfigurar un sistema cliente DHCP de modo que deje de utilizar DHCP y utilice la informacin de red esttica que se le proporcione. Para ms informacin consulte Activacin y desactivacin de un cliente DHCP de Solaris en la pgina 453.
Servidor DHCPv6
No hay ningn servidor DHCPv6 disponible a travs de Sun Microsystems para el SO Solaris. Los servidores de terceros son compatibles con el DHCPv6 de Sun y, si hay un servidor DHCPv6 en la red, el cliente DHCPv6 de Sun lo utilizar. Consulte Servidor Solaris DHCP en la pgina 322 para obtener informacin sobre el servidor DHCPv4 de Sun.
Diferencias entre DHCPv4 y DHCPv6

Las dos principales diferencias entre DHCPv4 y DHCPv6 son las siguientes:
El modelo de administracin
DHCPv4El administracor activa DHCP para cada interfaz. La administracin se efecta por interfaz lgica. DHCPv6No es necesaria una configuracin explcita. Este protocolo se activa en una interfaz fsica determinada. DHCPv4El servidor DHCP proporciona la mscara de subred de cada direccin. La opcin de nombre de host establece el nombre de nodo en todo el sietema. DHCPv6La mscara de subred la proporcionan los anuncios de encaminador, no el servidor DHCPv6. No existe la opcin de nombre de host DHCPv6.
Detalles del protocolo
El modelo administrativo
DHCPv4 requiere una configuracin de cliente explcita. Deber configurar el sistema DHCPv4 para direccionar a voluntad; esto se suele llevar a cabo durante la instalacin inicial del sistema o de forma dinmica mediante las opciones de ifconfig(1M).
DHCPv6 no requiere una configuracin de cliente explcita. Por el contrario, el uso de DHCP es una propiedad de la red, y la seal para utilizarlo se encuentra en los mensajes de anuncio de los encaminadores locales. El cliente DHCP crea y destruye automticamente las interfaces lgicas segn sea necesario. El mecanismo de DHCPv6 es muy parecido, desde el punto de vista administrativo, a la configuracin de direcciones sin estado IPv6 (automtica) actual. Para la configuracin de direcciones sin estado se activara un indicador en el encaminador local par indicar que, para un conjunto de prefijos determinado, cada cliente deber configurar automticamente una direccin propia utilizando el prefijo anunciado, as como un smbolo o nmero aleatorio de interfaz local. Para DHCPv6 se requieren los mismos prefijos, pero las direcciones se obtienen y gestionan mediante un servidor DHCPv6 en lugar de asignarse de forma "aleatoria.
Direccin MAC e ID de cliente

DHCPv4 utiliza la direccin MAC y un ID de cliente opcional para identificar al cliente y as asignarle una direccin. Cad vez que el mismo cliente llega a la red, obtiene la misma direccin, si es posbile. DHCPv6 utiliza bsicamente el mismo esquema, pero hace que el ID de cliente sea obligatorio y le impone una estructura. El ID de cliente de DHCPv6 consta de dos partes: un Identificador nico de DHCP (DUID) y un Identificador de identidad de asociacin (IAID). El DUID identifica el sistema cliente (no solo una interfaz, como en DHCPv4), y el IAID identifica la interfaz en ese sistema. Tal como se describe en RFC 3315, una asociacin de identidad es el mtodo que utilizan el servidor y el cliente para identificar, agrupar y gestionar un conjunto de direcciones IPv6 relacionadas. Un cliente debe asociar al menos una asociacin de identidad (IA) con cada una de sus interfaces de red, y a continuacin utiliza las IA asignadas para obtener informacin de configuracin de un servidor de esa interfaz. Para obtener informacin adicional sobre IA, consulte la siguiente seccin, Detalles de protocolo. DUID+IAID pueden tambin emplearse con DHCPv4. Se pueden concatenar de forma no ambigua para actuar como ID de cliente. Por motivos de compatibilidad, en las interfaces IPv4 habituales no suele hacerse. Sin embargo, para interfaces lgicas ("hme0:1") s se utiliza DUID+IAID si no se ha configurado ningn ID de cliente. A diferencia de DHCPv4, DHCPv6 no ofrece una opcin de "nombre de cliente", as que no hay modo de asignar nombres a sus sistemas basndose nicamente en DHCPv6. Si necesita saber el nombre DNS que corresponde a una direccin porporcionada por DHCPv6, utilice la tcnica de determinacin inversa de DNS (consulta de direccin-nombre a travs de la funcin getaddrinfo(3SOCKET) ) para averiguar la informacin de nombre correspondiente. Esto implica que, si solo utiliza DHCPv6 y desea que un nodo tenga un nombre especfico, deber configurar /etc/nodename en su sistema.
Captulo 16 Configuracin y administracin del cliente DHCP 447
Detalles del protocolo

Con DHCPv4, el servidor DHCP proporciona la mscara de subred qie se debe utilizar con la direccin asignada. Con DHCPv6, la mscara de subred (que se denomina tambin longitud de prefijo) la asignan los anuncios de encaminador, y no la controla el servidor DHCP. DHCPv4 incorpora la opcin de Nombre de host, que se utiliza para asignar el nombre del nodo en todo el sistema. DHCPv6 no dispone de esa opcin. Para configurar un ID de cliente para DHCPv6 se debe especificar un DUID, en lugar de dejar que el sistema lo elija automticamente. Esta operacin se puede hacer globalmente para el daemon, por cada interfaz. Utilice el formato siguiente para configurar la DUID global (tenga en cuenta el punto inicial): .v6.CLIENT_ID=<DUID> Para configurar una interfaz determinada para que use in DUID especfico (y que un servidor DHCPv6 perciba el sistema como varios clientes independientes): hme0.v6.CLIENT ID=<DUID> Cada asociacin de identidad (IA) acepta un tipo de direccin. Por ejemplo, una asociacin de identidad para direcciones temporales (IA_TA) acepta direcciones temporales, mientras que una para direcciones no temporales (IA_NA) lleva asignadas direcciones permanentes. La versin de DHCPv6 que se describe en esta gua solo poroporciona asociaciones IA_NA. El SO Solaris asigna exactamente un IAID a cada interfaz cuando se le solicita, y el IAID se guarda en un archivo en el sistema de archivos raz para que sea constante durante toda la vida del sistema.
Interfaces lgicas
En el cliente DHCPv4, cada interfaz lgica es independiente y es una unidad administrativa. Aparte de la interfaz lgica cero (cuyo identificador predeterminado es la direccin MAC de la interfaz), el usuario puede configurar interfaces especficas para ejecutar DHCP; para ello debe especificar un CLIENT_ID en el archivo de configuracin dhcpagent. Por ejemplo: hme0:1.CLIENT_ID=orangutan DHCPv6 funciona de otra forma. La interfaz lgica cero en una interfaz IPv6 es siempre, a diferencia de IPv4, una direccin local. La direccin local se utiliza pars asignar automticamente una direccin IP a un dispositivo de una red IP cuando no se dispone de otro mtodo de asignacin, como un servidor DHCP. La interfaz lgica cero no puede estar bajo control de DHCP, de modo que, aunque DHCPv6 se ejecute en esa interfaz (que se denomina tambin interfaz "fsica"), solo asigna direcciones a interfaces lgicas que no sean la cero. En respuesta a una solicitud de cliente DHCPv6, el servidor DHCPv6 devuelve una lista de direcciones para que el cliente las configure.
Negociacin de opciones
DHCPv6 dispone de la opcin Solicitud de opciones, que ofrece al servidor una pista de lo que el cliente prefiere ver. Si se han enviado todas las posibles opciones desde el servidor al cliente, se podra enviar tanta informacin que parte de ella debera perderse en el camino al cliente. El servidor podra utilizar esa pista para elegir qu opciones debe incluir en la respuesta. Otra posibilidad es que el servidor haga caso omiso de la pista y elija los elementos que se inlcuyen. En el SO Solaris, por ejemplo, las opciones preferibles podran incluir el dominio de direcciones DNS de Solaris o al dominio de direcciones NIS, pero posiblemente no se incluira el servidor de netbios. DHCPv4 proporciona el mismo tipo de sugerencia, pero sin la opcin especial de Solicitud de opciones. En cambio, DHCPv4 utiliza PARAM_REQUEST_LIST en /etc/default/dhcpagent.
Sintaxis de configuracin
Configure el cliente DHCPv6 de forma similar al actual cliente DHCPv4, mediante /etc/default/dhcpagent. La sintaxis se aumenta con un marcador .v6 entre el nombre de la interfaz (si lo hay) y el parmetro que se debe configurar. Por ejemplo, la lista de solicitud de opciones IPv4 global se configura as: PARAM_REQUEST_LIST=1,3,6,12,15,28,43 Se puede configurar una interfaz individual para omitir la opcin de nombre de host, de este modo: hme0.PARAM_REQUEST_LIST=1,3,6,15,28,43 Para configurar una lista de solicitud global para DHCPv6, tenga en cuenta el punto precedente: .v6.PARAM_REQUEST_LIST=23,24 O, para configurar una interfaz individual, siga este ejemplo: hme0.v6.PARAM_REQUEST_LIST=21,22,23,24 Utilice como referencia para configuracin de DHCPv6 este archivo /etc/default/dhcpagent:
# The default DHCPv6 parameter request list has preference (7), unicast (12), # DNS addresses (23), DNS search list (24), NIS addresses (27), and # NIS domain (29). This may be changed by altering the following parameter# value pair. The numbers correspond to the values defined in RFC 3315 and # the IANA dhcpv6-parameters registry. .v6.PARAM_REQUEST_LIST=7,12,23,24,27,29
Inicio de cliente DHCP

En la mayor parte de casos, no es necesario hacer nada para que se incie el cliente DHCPv6. El daemon in.ndpd inicia DHCPv6 automticamente cuando se necesita. Es posible que necesite /etc/hostname6.$IFNAME para configurar una interfaz que se debe sondear para IPv6 durante el arranque. Sin embargo, el instalador ya efecta esta operacin si se activa IPv6 en el sistema durante la instalacin. Para DHCPv4 se debe solicitar el inicio del cliente, si no se hizo durante la instalacin de Solaris. Consulte Cmo activar el cliente DHCP de Solaris en la pgina 453. Ell daemon dhcpagent obtiene la informacin de configuracin que necesitan otros procesos implicados en el arranque del sistema. Por ello, las secuencias de inicio del sistema inician dhcpagent en las primeras fases del proceso de arranque y esperan hasta que llega la informacin de configuracin de red del servidor DHCP. Aunque el comportamiento predeterminado es ejecutar DHCPv6, puede optar por no ejecutarlo. Una vez que DHCPv6 se est ejecutando, se puede detener con el comando ifconfig. Tambin se puede desactivar DHCPv6 para que no se inicie al rearrancar; para ello se debe modificar el archivo /etc/inet/ndpd.conf. Por ejemplo, para cerrar inmediatamente DHCPv6 en la interfaz denominada hme0.
ex# echo ifdefault StatefulAddrConf false >> /etc/inet/ndpd.conf ex# pkill -HUP -x in.ndpd ex# ifconfig hme0 inet6 dhcp release
La presencia del archivo /etc/dhcp.interfaz (por ejemplo, /etc/dhcp.ce0 en un sistema Sun FireTM 880) indica a las secuencias de inicio que en la interfaz especificada se debe utilizar DHCPv4. Cuando encuentran un archivo dhcp. interfaz, las secuencias de inicio ejecutan dhcpagent. Al ejecutarse, dhcpagent espera hasta recibir instrucciones para configurar una interfaz de red. Las secuencias de inicio emiten el comando ifconfig interfaz dhcp start, que indica a dhcpagent que inicie DHCPv4 como se describe en Funcionamiento de DHCP en la pgina 319. Si hay comandos en el archivo dhcp.interfaz, se agregan a la opcin dhcp start de ifconfig. Consulte la pgina de comando man ifconfig(1M) para obtener informacin sobre las opciones del comando ifconfig interfaz dhcp.
Comunicacin con DHCPv6

A diferencia de DHCPv4, que se invoca mediante configuracin manual, DHCPv6 se invoca mediante anuncios de encaminador (RA). En funcin de la configuracin del encaminador, el sistema llama automticamente a DHCPv6 en la interfaz en la que se ha recibido el mensaje de
anuncio de encaminador y utiliza DHCP para obtener una direccin y otros parmetros, o el sistema solicita solo datos que no sean la direccin (por ejemplo, servidores DNS) con DHCPv6. El daemon in.ndpd recibe el mensaje de anuncio del encaminador. Lo hace automticamente en todas las interfaces sondeadas para IPv6 en el sistema. Cuando in.ndpd ve un RA que especifica que se debe ejecutar DHCPv6, lo llama. Para impedir que in.ndpd inicie DHCPv6 se puede modificar el archivo /etc/inet/ndpd.conf. Tambin se puede detener DHCPv6 una vez iniciado mediante una de las siguientes versiones de ifconfig: ifconfig <interfaz> inet6 dhcp drop o: ifconfig <interfaz> inet6 dhcp release
Cmo gestionan los protocolos del cliente DHCP la informacin de configuracin de red
Los protocolos de los clientes DHCPv4 y DHCPv6 gestionan la informacin de configuracin de red de forma distinta. La principal diferencia es que, con DHCPv4, la negociacin es por el permiso de uso de una sola direccin y algunas opciones para acompaarla. Con DHCPv6, la negociacin implica un lote de direcciones y de opciones. Para acceder a informacin bsica sobre la interaccin entre el cliente y el servidor DHCPv4, consulte el Captulo 12, Solaris DHCP (descripcin general).
Cmo gestiona el cliente DHCPv4 la informacin de configuracin de red

Una vez obtenido el paquete de informacin de un servidor DHCP, dhcpagent configura la interfaz de red y la muestra. El daemon controla la interfaz durante la duracin del permiso de la direccin IP y mantiene los datos de configuracin en una tabla interna. Las secuencias de inicio del sistema utilzan el comando dhcpinfo para extraer valores de opciones de configuracin de la tabla interna. Los valores se utilizan para configurar el sistema y permitirle comunicarse a travs de la red. El daemon dhcpagent espera de forma pasiva a que transcurra un cierto perodo de tiempo, generalmente la mitad del tiempo de permiso. A continuacin, el daemon solicita una ampliacin del permiso a un servidor DHCP. Si el sistema notifica a dhcpagent que la interfaz est cerrada o que la direccin IP ha cambiado, el daemon no controla la interfaz hasta que el
comando ifconfig le indica que lo haga. Si dhcpagent obtiene que la interfaz est en marcha y que la direccin IP no ha cambiafdo, enva una solicitud al servidor para una renovacin del permiso. Si no se puede renovar el permiso, dhcpagent cierra la interfaz al finalizar el perodo de permiso. Cada vez que dhcpagent efecta una accin relacionada con el permiso, el daemon busca un archivo ejecutable denominado /etc/dhcp/eventhook. Si se halla un archivo ejecutable con ese nombre, dhcpagent llama a dicho archivo. Consulte Secuencias de eventos de cliente DHCP en la pgina 464 para obtener ms informacin acerca del uso del ejecutable de eventos.
Cmo gestiona el cliente DHCPv6 la informacin de configuracin de red

La comunicacin DHCPv6 entre cliente y servidor se inicia con el envo de un mensaje de solicitud por parte del cliente con el objetivo de localizar servidores. En respuesta, todos los servidores disponibles para el servicio DHCP envan un mensaje de anuncio. El mensaje del servidor contiene varios registros IA_NA (Asociacin de identidad - Direccin no temporal), as como otras opciones (como direcciones de servidores DNS) que puede proporcionar el servidor. Un cliente puede solicitar direcciones especficas (y mltiplos de ellas) si incluye sus propios registros IA_NA/IAADDR en el mensaje de solicitud. Generalmente, un cliente solicita direcciones especficas si tiene direcciones antiguas registradas y quiere que el servidor le proporcione las mismas direcciones si es posible. Independientemente de lo que haga el cliente (incluso si no solicita direccin alguna), el servidor puede proporcionarle cualquier nmero de direcciones para una nica transaccin DHCPv6. Este es el dilogo de mensajes entre los clientes y los servidores.

Un cliente enva un mensaje de solictud para localizar servidores. Los servidores envan un mensaje de anuncio para indicar que estn disponibles para el servicio DHCP. Un cliente enva un mensaje de solicitud para pedir parmetros de configuracin, incluidas direcciones IP, a los servidores con los valores de preferencia ms altos. Los valores de preferencia de los servidores los asigna el administrador, y pueden ir desde 0, la mnima preferencia, a 255, la mxima. El servidor enva un mensaje de respuesta que contiene los permisos de direcciones y los datos de configuracin.
Si el valor de preferencia en el mensaje de anuncio es de 255, el cliente DHCPv6 selecciona inmediatamente ese servidor. Si el servidor con la preferencia ms alta no responde o no enva satisfactoriamente un mensaje de respuesta al mensaje de solicitud, el cliente sigue buscando servidores por orden de preferencia hasta que se queda sin mensajes de anuncio. En ese momento, el cliente vuelve a empezar reenviando mensajes de solicitud.
Activacin y desactivacin de un cliente DHCP de Solaris
El servidor elegido enva un mensaje de respuesta que contiene las direcciones y parmetros de configuracin asignados en respuesta a un mensaje de solicitud de tipo Request o Solicit.
Cierre del cliente DHCP

Al cerrarse, el cliente enva un mensaje de liberacin al servidor para indicarle que ya no utilizar una o varias de las direcciones asignadas. Cuando el sistema que ejecuta el cliente DHCPv4 se cierra normalmente, dhcpagent escribe la informacin de configuracin actual en el archivo /etc/dhcp/interfaz.dhc o, para DHCPv6, en /etc/dhcp/interfaz.dh6 . De forma predeterminada, el permiso se suele guardar en vez de liberarse, de modo que el servidor DHCP no sabe que la direccin IP no se est usando de forma activa, lo que permite al cliente recuperar fcilmente la direccin en el siguiente arranque. Esta accin predeterminada es equivalente al comando ifconfig <interfaz> dhcp drop. Si el permiso en ese archivo an es vlido cuando el sistema rearranca, dhcpagent enva una solicitud abreviada para utilizar la misma direccin IP e informacin de configuracin de red. Para DHCPv4, es un mensaje de solicitud de tipo Request. Para DHCPv6, es un mensaje de confirmacin. Si el servidor DHCP permite esta solicitud, dhcpagent puede utilizar la informacin que escribi en el disco cuando el sistema se cerr. Si el servidor no da permiso al cliente para utilizar la informacin, dhcpagent inicia la secuencia del protocolo DHCP que se describe en Funcionamiento de DHCP en la pgina 319. El resultado es que el cliente obtiene nueva informacin de configuracin de red.

Para activar el cliente DHCP en un sistema que ya est ejecutando el SO Solaris y no utiliza DHCP, deber en primer lugar desconfigurar el sistema. Cuando el sistema arranque, deber emitir algunos comandos para configurarlo y activar el cliente DHCP.
Nota En numerosas implementaciones es habitual que partes esenciales de la infraestructura se
configuren con direcciones IP estticas, en lugar de utilizar DHCP. La determinacin de qu dispositivos de la red, como encaminadores y ciertos servidores, deben ser clientes y cules no excede el mbito de esta gua.
Cmo activar el cliente DHCP de Solaris

Este procedimiento solo debe efectuarse si no se activ DHCPv4 durante la instalacin de Solaris. Nunca es necesario para DHCPv6.
Asgnese los permisos de superusuario en el sistema cliente.

Si el sistema utiliza preconfiguracin en lugar de configuracin interactiva, edite el archivo sysidcfg. Agregue la subclave dhcp a la palabra clave interfaz_red en el archivo sysidcfg. Por ejemplo, interfaz_red=hme0 {dhcp}. Consulte la pgina del comando man sysidcfg(4) para obtener ms informacin. Desconfigure y cierre el sistema.
# sys-unconfig
Consulte la pgina de comando man sys-unconfig(1M) para saber ms datos sobre la informacin de configuracin que elimina este comando.
4
Rearranque el sistema una vez completado el cierre. Si el sistema utiliza preconfiguracin, la subclave dhcp del archivo sysidcfg configura el sistema para que utilice el cliente DHCP durante el arranque. Si el sistema no utiliza preconfiguracin, sysidtool le solicitar informacin de configuracin cuando el sistema rearranque. Para ms informacin consulte la pgina de comando man sysidtool(1M).
Cuando se le solicite si se debe usar DHCP para configurar las interfaces de red, especifique S.
1 2
Cmo desactivar un cliente DHCP de Solaris

Asgnese los permisos de superusuario en el sistema cliente. Si ha utilizado un archivo sysidcfg para preconfigurar el sistema, elimine la subclave dhcp de la palabra clave network_interface. Desconfigure y cierre el sistema.
# sys-unconfig
Consulte la pgina de comando man sys-unconfig(1M) para saber ms datos sobre la informacin de configuracin que elimina este comando.
4
Rearranque el sistema una vez completado el cierre. Si el sistema utiliza preconfiguracin, no se le solicitar informacin de configuracin y el cliente DHCP no se configura. Si el sistema no utiliza preconfiguracin, sysidtool le solicitar informacin de configuracin cuando el sistema rearranque. Para ms informacin consulte la pgina de comando man sysidtool(1M).
5
454
Cuando se le solicite si se debe usar DHCP para configurar las interfaces de red, especifique No.
Administracin del cliente DHCP

El software de cliente DHCP de Solaris no requiere administracin si el sistema se utiliza normalmente. El daemon dhcpagent se inicia automticamente cuando el sistema arranca, renegocia los permisos y se detiene cuando se cierra el sistema. Normalmente no se debe iniciar y detener de forma manual el daemon dhcpagent directamente. En vez de eso, como superusuario del sistema cliente, puede utilizar el comando ifconfig para modificar la gestin que dhcpagent efecta de la interfaz de red, si es necesario.
Opciones del comando ifconfig que se utilizan con el cliente DHCP

En esta seccin se resumen las opciones del comando, documentadas en la pgina de comando man ifconfig(1M) La nica diferencia entre las versiones de DHCPv4 y de DHCPv6 de estos comandos es la palabra clave inet6. Incluya la palabra clave inet6 para DHCPv6, pero no lo haga si ejecuta DHCPv4. El comando ifconfig le permite efectuar las siguientes tareas:
Iniciar el cliente DHCP El comando ifconfig interfaz [inet6] dhcp start inicia la interaccin entre dhcpagent y el servidor DHCP para obtener una direccin IP y un nuevo conjunto de opciones de configuracin. Este comando resulta til cuando se modifica informacin que desea que un cliente utilice de forma inmediata, como cuando se agregan direcciones IP o se cambia la mscara de subred. Solicitar solo informacin de configuracin de red El comando ifconfig interfaz [inet6] dhcp inform hace que dhcpagent emita una solicitud de parmetros de configuracin de red, con la excepcin de la direccin IP. Este comando resulta til cuando la interfaz de red tiene una direccin IP esttica, pero el sistema necesita actualizar las opciones de red. Por ejemplo, esta comando es prctico si no se utiliza DHCP para la gestin de direcciones IP, pero s para configurar los hosts de la red. Solicitar una ampliacin del permiso El comando ifconfig interfaz [inet6] dhcp extend hace que dhcpagent emita una solicitud de renovacin del permiso. El cliente solicita automticamente la renovacin de permisos. Sin embargo, puede ser conveniente utilizar este comando si cambia el tiempo de permiso y quiere que los clientes utilicen este nuevo tiempo inmediatamente, en lugar de esperar al siguiente intento de renovacin. Liberar la direccin IP El comando ifconfig interfaz [inet6] dhcp release hace que dhcpagent renuncie a la direccin IP que utiliza la interfaz de red. La liberacin de la direccin IP se lleva a cabo automticamente cuando caduca el permiso. Es conveniente emitir este comando, por ejemplo, desde un equipo porttil si quiere salir de una red y tiene previsto arrancarlo en una red distinta. Consulte tambin la propiedad RELEASE_ON_SIGTERM del archivo de configuracin /etc/default/dhcpagent.
455
Captulo 16 Configuracin y administracin del cliente DHCP
Abandonar la direccin IP El comando ifconfig interfaz [inet6] dhcp drop hace que dhcpagent cierre la interfaz de red sin informar al servidor DHCP y reserve el permiso en el sistema de archivos. Este comando permite al cliente utilizar la misma direccin IP al rearrancar. Hacer un ping de la interfaz de red El comando ifconfig interfaz [inet6] dhcp ping permite determinar si la interfaz est bajo el control de DHCP. Ver el estado de configuracin DHCP de la interfaz de red El comando ifconfig interfaz [inet6] dhcp status muestra el estado actual del cliente DHCP. En la pantalla se muestran los siguientes elementos:

Si se ha asociado una direccin IP al cliente El nmero de solicitudes enviadas, recibidas y rechazadas Si esta interfaz es la principal Veces que se ha obtenido el permiso, cundo caduca y cundo est programado el inicio de los intentos de renovacin
Por ejemplo:
# ifconfig hme0 dhcp status Interface State Sent Recv Declined Flags hme0 BOUND 1 1 0 [PRIMARY] (Began,Expires,Renew)=(08/16/2005 15:27, 08/18/2005 13:31, 08/17/2005 15:24) # ifconfig hme0 inet6 dhcp status Interface State Sent Recv Declined Flags hme0 BOUND 1 0 0 [PRIMARY] (Began,Expires,Renew)=(11/22/2006 20:39, 11/22/2006 20:41, 11/22/2006 20:40)
Asignacin de los parmetros de configuracin del cliente DHCP

El archivo /etc/default/dhcpagent del sistema cliente contiene parmetros ajustables para dhcpagent. Puede utilizar un editor de texto para modificar diversos parmetros que afectan al funcionamiento del cliente. El archivo /etc/default/dhcpagent est bien documentado; si necesita ms informacin, consulte el propio archivo, as como la pgina de comando man dhcpagent(1M). El archivo /etc/dhcp.interfaz es otra de las ubicaciones en las que se definen los parmetros que afectan al cliente DHCP. Los parmetros configurados en este archivo se utilizan en las secuencias de inicio del sistema con el comando ifconfig. Pero esto solo afecta a DHCPv4. No hay un equivalente para DHCPv6. De forma predeterminada, el cliente DHCP se configura del siguiente modo:
Sistemas cliente DHCP con varias interfaces de red
Para DHCPv4
El sistema cliente no precisa de un nombre de host especfico. Si quiere que un cliente solicite un nombre de host determinado, consulte Nombres de host de cliente DHCPv4 en la pgina 458.
Las solicitudes predeterminadas del cliente se especifican en /etc/default/dhcpagent , e incluyen el servidor DNS, el dominio DNS y la direccin de difusin. Se puede configurar el archivo de parmetros del cliente DHCP para que solicite ms opciones en la palabra clave PARAM_REQUEST_LIST del archivo /etc/default/dhcpagent . Se puede configurar el servidor DHCP para que ofrezca opciones que no se hayan solicitado de forma explcita. Consulte Macros DHCP en la pgina 329 y Uso de macros DHCP (mapa de tareas) en la pgina 412 para obtener informacin sobre el uso de las macros del servidor DHCP para enviar informacin a los clientes.
Para DHCPv4 y DHCPv6
El sistema cliente utiliza DHCP en una interfaz de red fsica. Si desea utilizar DHCP en ms de una interfaz de red fsica, consulte Sistemas cliente DHCP con varias interfaces de red en la pgina 457.
El cliente no se configura automticamente como cliente de servicio de nombres si se ha configurado despus de la instalacin de Solaris. Consulte Sistemas cliente DHCP y servicios de nombres en la pgina 459 para obtener informacin acerca del uso de servicios de nombres con clientes DHCP.
Sistemas cliente DHCP con varias interfaces de red

El cliente DHCP puede gestionar simultneamente varias interfaces distintas en un sistema. Las interfaces pueden ser fsicas o lgicas. Cada interfaz tiene su propia direccin IP y tiempo de permiso. Si se configura ms de una interfaz de red para DHCP, el cliente emite solicitudes independientes para configurarlas. El cliente mantiene un conjunto independiente de parmetros de configuracin de red para cada interfaz. Aunque los parmetros se almacenan de forma independiente, algunos de ellos son de naturaleza global. Los parmetros globales se aplican al sistema en su conjunto, en lugar de a una interfaz de red especfica. El nombre de host, el nombre de dominio NIS y la zona horaria son ejemplos de parmetros globales. Los parmetros globales suelen tener valores distintos para cada interfaz. Sin embargo, solo se puede utilizar un valor para cada parmetro global asociado con cada sistema. Para garantizar que la consulta de un parmetro global recibe una respuesta nica, solo se utilizan los parmetros globales de la interfaz de red principal. Puede insertar la palabra primary en el archivo /etc/dhcp. interfaz de la interfaz que desea tratar como principal. Si no se utiliza la palabra clave primary, la primera interfaz en orden alfabtico es la que se considerar interfaz principal.
Nombres de host de cliente DHCPv4
El cliente DHCP gestiona los permisos de las interfazs lgicas y fsicas de la misma forma, salvo por la siguiente limitacin de las interfazs lgicas:
El cliente DHCP no gestiona las rutas predeterminadas asociadas con interfazs lgicas. El ncleo de Solaris asocia rutas con interfazs fsicas, no lgicas. Cuando se establece la direccin IP de una interfaz fsica, se deben establecer las rutas predeterminadas necesarias en la tabla de encaminamiento. Si a continuacin se utiliza DHCP para configurar una interfaz lgica asociada con esa interfaz fsica, las rutas necesarias ya deben estar establecidas. La interfaz lgica utiliza las mismas rutas. Cuando caduca un permiso de una interfaz fsica, el cliente DHCP elimina las rutas predeterminadas asociadas con la interfaz. Cuando caduca un permiso de una interfaz lgica, el cliente DHCP no elimina las rutas predeterminadas asociadas con la interfaz. La interfaz fsica asociada, y quiz otras interfazs lgicas, pueden tener que utilizar esas mismas rutas. Si necesita agregar o eliminar rutas predeterminadas asociadas con una interfaz controlada por DHCP, utilice el mecanismo de secuencias de eventos del cliente DHCP. Consulte Secuencias de eventos de cliente DHCP en la pgina 464.
Nombres de host de cliente DHCPv4

De forma predeterminada, el cliente DHCPv4 de Solaris no proporciona su propio nombre de host, ya que el cliente espera que sea el servidor DHCP el que lo haga. El servidor DHCPv4 de Solaris est configurado de forma predeterminada para proporcionar nombres de host a los clientes DHCPv4. Cuando se utilizan el servidor y el cliente DHCPv4 de Solaris, esta configuracin predeterminada funciona perfectamente. Sin embargo, si se utiliza el cliente DHCPv4 de Solaris con servidores DHCP de terceros, es posible que el cliente no recibs un nombre de host del servidor. Si el cliente DHCP de Solaris no recibe un nombre de host a travs de DHCP, el sistema cliente busca un nombre para utilizar como nombre de host en el archivo /etc/nodename. Si el archivo est vaco, se asigna el nombre de host unknown (desconocido). Si el servidor DHCP proporciona un nombre en la opcin de DHCP Hostname, el cliente utiliza ese nombre de host, aunque se asigne un valor distinto en el archivo /etc/nodename. Si quiere que el cliente utilice un nombre de host especfico, puede habilitar al cliente para que lo solicite. Consulte el procedimiento siguiente.
Nota El procedimiento siguiente no funciona con todos los servidores DHCP. Mediante este
proceso solicita al cliente que enve un nombre de host especfico al servidor DHCP y que espere el mismo nombre como respuesta. Sin embargo, el servidor DHCP no tiene por qu satisfacer esta solicitud y, de hecho, muchos no lo hacen. Se limitan a devolver un nombre distinto.
458
Sistemas cliente DHCP y servicios de nombres
Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico
En el sistema cliente, edite el archivo /etc/default/dhcpagent como superusuario. Busque la palabra clave REQUEST_HOSTNAME en el archivo /etc/default/dhcpagent y modifquela del siguiente modo:
REQUEST_HOSTNAME=yes
1 2
So delante de REQUEST_HOSTNAME aparece un signo de comentario (#), brrelo. Si no aparece la palabra clave REQUEST_HOSTNAME, insrtela.
3
Edite el archivo /etc/hostname. interfaz en el sistema cliente para agregar la lnea siguiente: inet nombre_host nombre_host es el nombre que quiere que el cliente utilice.
Escriba los comandos siguientes para que el cliente efecte una negociacin DHCP completa al rearrancar:
# ifconfig interface dhcp release # reboot
Los datos de DHCP reservados en el cliente se eliminan. El cliente reinicia el protocolo para solicitar nueva informacin de configuracin, incluido un nuevo nombre de host. El servidor DHCP se asegura en primer lugar de que otro sistema de la red no utiliza ese nombre de host. El servidor asigna entonces el nombre de host al cliente. Si se configura para ello, el servidor DHCP puede actualizar los servicios de nombres con el nombre de host del cliente. Si desea modificar el nombre de host ms adelante, repita el Paso 3 y el Paso 4.

Los sistemas Solaris admiten los siguientes servicios de nombres: DNS, NIS, NIS+ y un almacn en un archivo local (/etc/inet/hosts). Cada servicio de nombres requiere configurar algunos aspectos antes de poder utilizarse. El archivo de configuracin de cambios del servicio de nombres (ver nsswitch.conf(4)) debe tambin configurarse de forma adecuada para indicar los servicios de nombres que se deben utilizar. Antes de que un cliente DHCP puede utilizar un servicio de nombrse, se debe configurar el sistema como cliente del servicio. De forma predeterminada y a manos que se indique lo contrario durante la instalacin del sistema, solo se utilizan archivos locales. En la tabla siguiente se resumen las cuestiones relacionadas con cada servicio de nombres y DHCP. La tabla contiene tambin enlaces a documentacin que pueden ayudarle a configurar clientes para cada servicio de nombres.
TABLA 161
Informacin de cliente de servicio de nombres para sistemas cliente DHCP

Informacin de configuracin de cliente
Servicio de nombres
NIS
Si utiliza DHCP de Solaris para enviar informacin de la instalacin de red de Solaris a un sistema cliente, puede utilizar una macro de configuracin que contiene las opciones NISservs y NISdmain. Estas opciones pasan las direcciones IP de los servidores NIS y el nombre de dominio NIS al cliente. El cliente se convierte automticamente en cliente NIS. Si un sistema cliente DHCP ya est ejeuctando el SO Solaris, el cliente NIS no se configura automticamente en ese sistema cuando el servidor DHCP enva informacin NIS al cliente. Si el servidor DHCP se configura para enviar informacin NIS al sistema cliente DHCP, puede ver los valores proporcionados al cliente utilizando el comando dhcpinfo en el cliente, de la siguiente forma: # /sbin/dhcpinfo NISdmain # /sbin/dhcpinfo NISservs
Nota Para DHCPv6, incluya -v6 y palabras clave de protocolo distintas en el comando.
# /sbin/dhcpinfo -v6 NISDomain # /sbin/dhcpinfo -v6 NISServers Utilice los valores devueltos para el nombre del dominio NIS y los servidores NIS al configurar el sistema como cliente NIS. Para configurar un cliente NIS para un sistema cliente DHCP de Solaris utilice el mtodo estndar documentado en el Captulo 5, Setting Up and Configuring NIS Service de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Consejo Puede escribir una secuencia de comandos que utilice dhcpinfo e ypinit para automatizar la configuracin de clientes NIS en sistemas cliente DHCP.
NIS+
Si el cliente NIS+ para un sistema cliente DHCP se configura de la forma convencional, es posible que el servidor DHCP proporcione de vez en cuando al cliente direcciones distintas. Esto provoca problemas de seguridad, ya que la seguridad de NIS+ incluye la direccin IP como parte de la configuracin. Para garantizar que el cliente tenga la misma direccin cada vez, configure el cliente NIS+ para un sistema cliente DHCP de forma no estndar, segn se documenta en Configuracin de clientes DHCP como clientes NIS+ en la pgina 461. Si se ha asignado manualmente una direccin IP al sistema cliente DHCP, la direccin del cliente ser siempre la misma. El cliente NIS+ se puede configurar de la forma estndar, descrita en Setting Up NIS+ Client Machines de System Administration Guide: Naming and Directory Services (NIS+).
460
TABLA 161 Informacin de cliente de servicio de nombres para sistemas cliente DHCP (Continuacin) Servicio de nombres Informacin de configuracin de cliente
/etc/inet/hosts
Deber configurar el archivo /etc/inet/hosts para un sistema cliente DHCP que vaya a utilizar /etc/inet/hosts para su servicio de nombres. El nombre de host del sistema cliente DHCP se agrega a su propio archivo /etc/inet/hosts mediante las herramientas de DHCP. Sin embargo, se debe agregar manualmente el nombre de host al archivo /etc/inet/hosts de otros sistemas de la red. Si el sistema servidor DHCP utiliza /etc/inet/hosts para la resolucin de nombres, deber agregar tambin manualmente el nombre de host del cliente al sistema.
DNS
Si el sistema cliente DHCP recibe el nombre de dominio DNS a travs de DHCP, el archivo /etc/resolv.conf del sistema cliente se configura automticamente. El archivo /etc/nsswitch.conf se actualiza tambin automticamente para agregar dns a la lnea hosts a continuacin de otros servicios de nombres en el orden de bsqueda. Para obtener ms informacin acerca de DNS, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Configuracin de clientes DHCP como clientes NIS+

Puede utilizar el servicio de nombres NIS+ en sistemas Solaris que sean clientes DHCP. Sin embargo, si su servidor DHCP puede proporcionar direcciones distintas en momentos distintos, este hecho burla parcialmente una de las opciones de mejora de seguridad de NIS+: la creacin de credenciales de Estndar de cifrado de datos (DES). Por seguridad, configure el servidor DHCP para que proporcione siempre la misma direccin. Cuando se configura un cliente NIS+ que no utiliza DHCP, se agregan al servidor NIS+ credenciales DES nicas para el cliente. Hay varias formas de crear credenciales, como el uso de la secuencia nisclient o el comando nisaddcred. La generacin de credenciales NIS+ requiere que un cliente tenga un nombre de host esttico para crear y almacenar las credenciales. Si quiere utilizar NIS+ y DHCP, deber crear credenciales idnticas que se utilizarn para todos los nombres de host de los clientes DHCP. De este modo, no importa qu direccin IP y nombre de host asociado reciba un cliente DHCP, porque el cliente podr utilizar las mismas credenciales DES. El procedimiento siguiente muestra cmo se crean credenciales idnticas para todos los nombres de host DHCP. El procedimiento es vlido nicamente si se conocen los nombres de host que utilizan los clientes DHCP. Por ejemplo, cuando el servidor DHCP genera los nombres de host, se saben los posibles nombres de host que puede recibir un cliente.
Cmo configurar clientes DHCP de Solaris como clientes NIS+

Un sistema cliente DHCP que vaya a ser cliente NIS+ deber utilizar credenciales que pertenezcan a otro sistema cliente NIS+ del dominio NIS+. Este procedimiento genera nicamente credenciales para el sistema, que se aplican solo al superusuario que ha iniciado
sesin en el sistema. Otros usuarios que inicien sesin en el sistema cliente DHCP debern disponer de sus propias credenciales nicas en el servidor NIS+. Estas credenciales se crean mediante el procedimiento descrito en la System Administration Guide: Naming and Directory Services (NIS+).
1
Para crear las credenciales para un cliente, escriba el siguiente comando en el servidor NIS+:
# nisgrep nisplus-client-name cred.org_dir > /tmp/file
Este comando escribe la entrada de la tabla cred.org_dir correspondiente al cliente NIS+ en un archivo temporal.
2
Utilice el comando cat para ver el contenido de este archivo. Tambin puede utilizar un editor de texto.
Copie las credenciales para utilizar para los clientes DHCP. Deber copiar la clave pblica y la privada, que son largas secuencias de nmeros y letras separadas por dos puntos (:). Las credenciales se debern pegar en el comando que se emitir en el siguiente paso.
Agregue credenciales para un cliente DHCP mediante el siguiente comando:

# nistbladm -a cname=" dhcp-client-name@nisplus-domain" auth_type=DES \ auth_name="unix.dhcp-client-name@nisplus-domain" \ public_data=copied-public-key \ private_data=copied-private-key
En clave_pblica_copiada, pegue la informacin de clave pblica que ha copiado del archivo temporal. En clave_privada_copiada, pegue la informacin de clave privada que ha copiado del archivo temporal.
5
Copie de forma remota los archivos desde el sistema cliente NIS+ al sistema cliente DHCP emitiendo los siguientes comandos en el sistema cliente DHCP:
# rcp nisplus-client-name:/var/nis/NIS_COLD_START /var/nis # rcp nisplus-client-name:/etc/.rootkey /etc # rcp nisplus-client-name:/etc/defaultdomain /etc
Si recibe un mensaje de permission denied (permiso denegado), es posible que los sistemas no estn conrfigurados para permitir la copia remota. En tal caso, puede copiar los archivos como usuario normal a una ubicacin intermedia. Como superusuario, copie los archivos desde la ubicacin intermedia a la ubicacin aproada en el sistema cliente DHCP.
6
Copie el archivo de cambios del servicio de nombres correcto para NIS+ mediante el siguiente comando en el sistema cliente DHCP:
# cp /etc/nsswitch.nisplus /etc/nsswitch.conf
462
Rearranque el sistema cliente DHCP. Ahora, el sistema cliente DHCP ya podr utilizar los servicios NIS+.
Ejemplo 161
Configuracin de un sistema cliente DHCP de Solaris como cliente NIS+

En el ejemplo siguiente se supone que el sistema nisei, es un cliente NIS+ en el dominio NIS+ dev.example.net . Tambin tiene un sistema cliente DHCP, dhow, y quiere que dhow sea un cliente NIS+.
(First log in as superuser on the NIS+ server) # nisgrep nisei cred.org_dir > /tmp/nisei-cred # cat /tmp/nisei-cred nisei.dev.example.net.:DES:unix.nisei@dev.example.net:46199279911a84045b8e0 c76822179138173a20edbd8eab4:90f2e2bb6ffe7e3547346dda624ec4c7f0fe1d5f37e21cff63830 c05bc1c724b # nistbladm -a cname="dhow@dev.example.net." \ auth_type=DES auth_name="unix.dhow@dev.example.net" \ public_data=46199279911a84045b8e0c76822179138173a20edbd8eab4 \ private_data=90f2e2bb6ffe7e3547346dda624ec4c7f0fe1d5f37e21cff63830\ c05bc1c724b # rlogin dhow (Log in as superuser on dhow) # rcp nisei:/var/nis/NIS_COLD_START /var/nis # rcp nisei:/etc/.rootkey /etc # rcp nisei:/etc/defaultdomain /etc # cp /etc/nsswitch.nisplus /etc/nsswitch.conf # reboot
El sistema cliente DHCP dhow podr ahora utilizar los servicios NIS+.
Ejemplo 162
Adicin de credenciales mediante una secuencia de comandos

Si quiere configurar una gran cantidad de clientes DHCP como clientes NIS+, puede escribir una secuencia. Una secuencia puede agregar rpidamente las entradas a la tabla NIS+ cred.org_dir. A continuacin se muestra un ejemplo de secuencia.
#! /usr/bin/ksh # # Copyright (c) by Sun Microsystems, Inc. All rights reserved. # # Sample script for cloning a credential. Hosts file is already populated # with entries of the form dhcp-[0-9][0-9][0-9]. The entry were cloning # is dhcp-001. # # PUBLIC_DATA=6e72878d8dc095a8b5aea951733d6ea91b4ec59e136bd3b3
Secuencias de eventos de cliente DHCP
PRIVATE_DATA=3a86729b685e2b2320cd7e26d4f1519ee070a60620a93e48a8682c5031058df4 HOST="dhcp-" DOMAIN="mydomain.example.com" for i in 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 do print - ${HOST}${i} #nistbladm -r [cname="${HOST}${i}.${DOMAIN}."]cred.org_dir nistbladm -a cname="${HOST}${i}.${DOMAIN}." \ auth_type=DES auth_name="unix.${HOST}${i}@${DOMAIN}" \ public_data=${PUBLIC_DATA} private_data=${PRIVATE_DTA} cred.org_Dir done exit 0

El cliente DHCP de Solaris se puede configurar para que ejecute un programa o secuencia que lleve a cabo cualquier accin adecuada para el sistema cliente. El programa o secuencia, que se denomina, secuencia de eventos, se ejecuta automticamente cuando tienen lugar determinados eventos de permiso de DHCP. La secuencia de eventos se puede utilizar para ejeuctar otros comandos, programas o secuencias en respuesta a eventos de permiso especficos. Para utilizar esta funcin deber proporcionar su propia secuencia. dhcpagent utiliza las siguientes palabras clave para referirse a eventos de permisos de DHCP: Palabra clave de evento BOUND y BOUND6 Descripcin La interfaz est configurada para DHCP. El cliente recibe el mensaje de confirmacin (DHCPv4 ACK) o (DHCPv6 Reply ) del servidor DHCP en el que se concede la solicitud de permiso para una direccin IP. Se llama a la secuencia de eventos inmediatamente despus de la configuracin satisfactoria de la interfaz. El cliente ha realizado correctamente una concesin. Se llama a la secuencia de eventos inmediatamente despus de que el cliente recibe el mensaje de confirmacin del servidor DHCP por la solicitud de renovacin. El permiso caduca cuando se agota su tiempo. Para DHCPv4, la secuencia de eventos se llama inmediatamente despus de que la direccin permitida se elimina de la interfaz y se marca esta como desconectada. Para DHCPv6, la secuencia de eventos se llama justo antes de que las ltimas direcciones permitidas se eliminen de la interfaz.
EXTEND y EXTEND6
EXPIRE y EXPIRE6
464
DROP y DROP6
El cliente usa la concesin para eliminar la interfaz desde el control DHCP. Se llama a la secuencia de eventos inmediatamente antes de la interfaz se retire del control de DHCP. El cliente deja de usar la direccin IP. Se llama a la secuencia de eventos inmediatamente antes de que el cliente libere la direccin en la interfaz y enve el paquete DHCPv4 RELEASE o DHCPv6 Release al servidor DHCP. Una interfaz obtiene informacin de configuracin nueva o actualizada de un servidor DHCP a travs del mensaje DHCPv4 INFORM o DHCPv6 Information-Request. Estos eventos tienen lugar cuando el cliente DHCP solo obtiene parmetros de configuracin del servidor, pero no obtiene un permiso de direccin IP. Durante la caducidad del permiso, cuando an quedan uno o ms permisos vlidos, se llama a la secuencia de eventos justo antes de eliminar las direcciones caducadas. Las direcciones que se van a eliminar se marcan con el indicador IFF_DEPRECATED.
RELEASE y RELEASE6
INFORM e INFORM6
LOSS6
Con cada uno de estos eventos, dhcpagent llama al comando siguiente:

/etc/dhcp/eventhook interface event
donde interfaz es la interfaz que utiliza DHCP y evento es una de las palabras clave de evento descritas anteriormente. Por ejemplo, cuando la interfaz ce0 se configura por primera vez para DHCP, dhcpagent llama a la secuencia de eventos de la siguiente forma:
/etc/dhcp/eventhook ce0 BOUND
Para utilizar la funcin de secuencia de eventos, haga lo siguiente:

Asigne al archivo ejecutable el nombre /etc/dhcp/eventhook. Establezca el propietario del archivo en root. Establezca los permisos en 755 (rwxr-xr-x ). Escriba la secuencia o programa que debe llevar a cabo una serie de acciones en respuesta a alguno de los eventos documentados. Sun puede agregar nuevos eventos, de modo que el programa debe hacer caso omiso de los eventos no reconocidos o que no requieren accin. Por ejemplo, el programa o secuencia puede escribir un archivo de registro cuando el evento es RELEASE, y no hacer caso de los dems eventos. El programa o secuencia no debe ser interactivo. Antes de llamar a la secuencia de eventos, stdin, stdout y stderr se conectan a /dev/null. Para ver la salida de errores, deber redirigirla a un archivo.
465
La secuencia de eventos hereda su entorno de programa de dhcpagent, y se ejeucta con privilegios de root. Si es necesario, la secuencia puede utilizar la utilidad dhcpinfo para obtener ms informacin acerca de la interfaz. Para ms informacin consulte la pgina de comando man dhcpinfo(1). El daemon dhcpagent espera la salida de la secuencia de eventos para todos los eventos. Si la secuencia de eventos no sale transcurridos 55 segundos, dhcpagent enva una seal SIGTERM al proceso de la secuencia. Si el proceso sigue sin salir pasados otros tres segundos, el daemon enva una seal SIGKILL para cerrar el proceso. En la pgina de comando man dhcpagent(1M) se muestra un ejemplo de secuencia de eventos. El Ejemplo 163 muestra la forma de utilizar una secuencia de eventos DHCP para mantener actualizado el contenido del archivo /etc/resolv.conf. Cuando tienen lugar los eventos BOUND y EXTEND, la secuencia sustituye los nombres del servidor de dominios y del servidor de nombres. Cuando tienen lugar los eventos EXPIRE, DROP y RELEASE, la secuencia elimina del archivo los nombres del servidor de dominios y del servidor de nombres.
Nota La secuencia de ejemplo supone que DHCP es el origen de autoridad del servidor de dominios y del servidor de nombres. Tambin supone que todas las interfaces bajo control de DHCP devuelven informacin coherente y actualizada. Es posible que estas hiptesis no reflejen las condiciones reales de su sistema.
EJEMPLO 163
Secuencia de eventos para actualizar el archivo /etc/resolv.conf
#!/bin/ksh -p PATH=/bin:/sbin export PATH umask 0222 # Refresh the domain and name servers on /etc/resolv.conf insert () { dnsservers=dhcpinfo -i $1 DNSserv if [ -n "$dnsservers" ]; then # remove the old domain and name servers if [ -f /etc/resolv.conf ]; then rm -f /tmp/resolv.conf.$$ sed -e /^domain/d -e /^nameserver/d \ /etc/resolv.conf > /tmp/resolv.conf.$$ fi # add the new domain dnsdomain=dhcpinfo -i $1 DNSdmain
466
EJEMPLO 163
Secuencia de eventos para actualizar el archivo /etc/resolv.conf
(Continuacin)
if [ -n "$dnsdomain" ]; then echo "domain $dnsdomain" >> /tmp/resolv.conf.$$ fi # add new name servers for name in $dnsservers; do echo nameserver $name >> /tmp/resolv.conf.$$ done mv -f /tmp/resolv.conf.$$ /etc/resolv.conf fi } # Remove the domain and name servers from /etc/resolv.conf remove () { if [ -f /etc/resolv.conf ]; then rm -f /tmp/resolv.conf.$$ sed -e /^domain/d -e /^nameserver/d \ /etc/resolv.conf > /tmp/resolv.conf.$$ mv -f /tmp/resolv.conf.$$ /etc/resolv.conf fi } case $2 in BOUND | EXTEND) insert $1 exit 0 ;; EXPIRE | DROP | RELEASE) remove exit 0 ;; *) exit 0 ;; esac
467
468
17
C A P T U L O
1 7
Solucin de problemas de DHCP (referencia)
En este captulo se ofrece informacin para ayudarle a resolver problemas que pueden aparecen al configurar un servidor o cliente DHCP. Tambin puede servir de ayuda con posibles problemas de uso de DHCP una vez finalizada la configuracin. Este captulo contiene la informacin siguiente:

Solucin de problemas del servidor DHCP en la pgina 469 Solucin de problemas de configuracin del cliente DHCP en la pgina 475
Consulte el Captulo 14, Configuracin del servicio DHCP (tareas) para obtener informacin sobre la configuracin del servidor DHCP. Consulte Activacin y desactivacin de un cliente DHCP de Solaris en la pgina 453 para obtener informacin sobre la configuracin de su cliente DHCP.
Solucin de problemas del servidor DHCP

Los posibles problemas de configuracin del servidor se pueden dividir en las categoras siguientes:

Problemas de NIS+ y el almacn de datos DHCP en la pgina 469 Errores de asignacin de direccin IP en DHCP en la pgina 473
Problemas de NIS+ y el almacn de datos DHCP

Si utiliza NIS+ como almacn de datos DHCP, los posibles problemas se dividen en las siguientes categoras:

No se puede seleccionar NIS+ como almacn de datos DHCP en la pgina 470 NIS+ no est bien configurado como almacn de datos DHCP en la pgina 470 Problemas de acceso de NIS+ para el almacn de datos DHCP en la pgina 471
469
No se puede seleccionar NIS+ como almacn de datos DHCP

Si intenta utilizar NIS+ como almacn de datos, es posible que DHCP Manager no ofrezca NIS+ como opcin de almacn de datos. Si utiliza el comando dhcpconfig, quiz se muestre un mensaje indicando que NIS+ no parece estar instalado y en ejecucin. Estos dos sntomas significan que NIS+ no se ha configurado para este servidor, aunque puede que NIS+ se est utilizando en la red. Antes de poder seleccionar NIS+ como almacn de datos, el sistema servidor se debe configurar como cliente NIS+. Antes de configurar el sistema servidor DHCP como cliente NIS+ se deben cumplir las siguientes condiciones:

El dominio ya debe estar configurado. El servidor maestro del dominio NIS+ se debe estar ejecutando. Las tablas del servidor maestro deben estar llenas. La tabla de hosts debe contener una entrada para el nuevo sistema cliente, el sistema servidor DHCP.
Setting Up NIS+ Client Machines de System Administration Guide: Naming and Directory Services (NIS+) ofrece informacin detallada acerca de la configuracin de un cliente NIS+.
NIS+ no est bien configurado como almacn de datos DHCP

Si ya ha utilizado satisfactoriamente NIS+ con DHCP, puede encontrarse con errores si se efectan cambios en NIS+. Los cambios pueden provocar problemas de configuracin. Utilice las siguientes descricpiones de problemas y sus soluciones para ayudarle a determinar la causa de los problemas de configuracin.
Problema: El objeto root no existe en el dominio NIS+. Solucin: Escriba el siguiente comando:
/usr/lib/nis/nisstat Este comando muestra las estadsticas del dominio. Si el objeto root no existe, no se devuelve estadstica alguna. Configure el dominio NIS+ siguiendo las indicaciones de la System Administration Guide: Naming and Directory Services (NIS+).
Problema: NIS+ no se utiliza para la informacin de passwd y publickey. Solucin: Escriba el comando siguiente para ver el archivo de configuracin del cambio de servicio de nombres: cat /etc/nsswitch.conf Compruebe si en las entradas passwd y publickey aparece la palabra clave nisplus. Consulte la System Administration Guide: Naming and Directory Services (NIS+) para obtener informacin acerca de la configuracin del cambio de servicio de nombres.
Problema: El nombre de dominio est vaco. Solucin: Escriba el siguiente comando:
domainname Si el comando muestra una cadena vaca, no se ha establecido ningn nombre para el dominio. Utilice archivos locales como almacn de datos o configure un dominio NIS+ para su red. Consulte la System Administration Guide: Naming and Directory Services (NIS+).
Problema: El archivo NIS_COLD_START no existe. Solucin: Escriba el comando siguiente en el sistema servidor para determinar si el archivo existe: cat /var/nis/NIS_COLD_START Utilice archivos locales como almacn de datos o crre un cliente NIS+. Consulte la System Administration Guide: Naming and Directory Services (NIS+).
Problemas de acceso de NIS+ para el almacn de datos DHCP

Los problemas de acceso de NIS+ pueden provocar mensajes de error sobre credenciales DES incorrectas, o permisos inadecuados para actualizar objetos y tablas NIS+. Utilice las siguientes descripciones de problemas y soluciones para determinar la causa de los error de acceso de NIS+ recibidos.
Problema: El sistema servidor DHCP no tiene acceso de creacin para el objeto org_dir en el
dominio NIS+. Solucin: Escriba el siguiente comando:

nisls -ld org_dir
Los derechos de acceso se muestran en la forma r---rmcdrmcdr---, donde los permisos se aplican respectivamente a nobody (nadie), owner (propietario), group (grupo) y world (todos). El propietario del objeto se indica a continuacin. Normalmente, el objeto de directorio org_dir proporciona todos los derechos al propietario y al grupo. "Todos los derechos" significa derechos de leer, modificar, crear y destruir. El objeto de directorio org_dir proporicona nicamente acceso de lectura a las clases world y nobody. El nombre del servidor DHCP debe figurar como propietario del objeto org_dir o bien como principal en el grupo. El grupo debe tener acceso de creacin. Utilice el comando siguiente para ver el grupo:
nisls -ldg org_dir
Utilice el comando nischmod para cambiar los permisos de org_dir, si es necesario. Por ejemplo, para agregar al grupo acceso de creacin, escriba el siguiente comando:
nischmod g+c org_dir
Para ms informacin consulte la pgina de comando man nischmod(1).

Captulo 17 Solucin de problemas de DHCP (referencia) 471
Problema: El servidor DHCP no tiene derechos de acceso para crear una tabla en el objeto
org_dir. Normalmente, este problema significa que el nombre principal del sistema servidor no es miembro del grupo propietario del objeto org_dir, o que no existe un grupo propietario.
Solucin: Escriba este comando para averiguar el nombre del grupo propietario: niscat -o org_dir
Busque una lnea similar a la siguiente: Group : "admin.example.com." Para ver los nombres de principales del grupo ,utilice el comando:
nisgrpadm -l groupname
Por ejemplo, este comando muestra los nombres de principales del grupo admin.example.com: nisgrpadm -l admin.example.com El nombre del sistema servidor debe aparecer como miembro explcito del grupo o estar incluido como miembro implcito de l. Si es necesario, agregue el nombre del sistema servidor al grupo mediante el comando nisgrpadm. Por ejemplo, para agregar el servidor de nombres pacific al grupo admin.example.com , utilice el siguiente comando:
nisgrpadm -a admin.example.com pacific.example.com
Para ms informacin consulte la pgina de comando man nisgrpadm(1).

Problema: El servidor DHCP no tiene credencuales de Estndar de cifrado de datos (DES) vlidas en la tabla cred de NIS+. Solucin: En caso de problema de credenciales, un mensaje de error indica que el usuario no dispone de credenciales DES en el servicio de nombres NIS+.
Utilice el comando nisaddcred para agregar credenciales de seguridad para un sistema servidor DHCP. En el ejemplo siguiente se muestra la forma de agregar credenciales DES para el sistema mercury en el dominio example.com:
nisaddcred -p unix.mercury@example.com \ -P mercury.example.com. DES example.com.
El comando solicita la contrasea de usuario root, necesaria para generar una clave secreta cifrada. Para ms informacin consulte la pgina de comando man nisaddcred(1M).
472
Errores de asignacin de direccin IP en DHCP

Cuando un cliente intenta obtener o verificar una direccin IP, es posible que se registren problemas en syslog o en la salida del modo de depuracin del servidor. En la siguiente lista de mensajes de error comunes se indican las posibles causas y las soluciones. No existe la tabla de red dhcp n.n.n.n para la red DHCP del cliente Causa: Un cliente solicita una direccin IP especfica o intenta ampliar un permiso para su direccin IP actual. El servidor DHCP no puede encontrar la tabla de red DHCP para esa direccin.
Solucin: Es posible que la tabla de red DHCP se haya eliminado por error. Se puede recrear
la tabla de red agregando la red de nuevo mediante DHCP Manager o mediante el comando dhcpconfig. Respuesta de ICMP ECHO al candidato de OFFER: n.n.n.n, desactivando Causa: La direccin IP que se iba a ofrecer a un cliente DHCP ya se est utilizando. Este problema puede surgir si hay ms de un servidor DHCP propietario de la direccin. Tambin puede ocurrir si se ha configurado manualmente una direccin para un cliente de red no DHCP.
Solucin: Determine el verdadero propietario de la direccin. Corrija la base de datos del servidor DHCP o la configuracin de red del host.
Respuesta de ICMP ECHO al candidato de OFFER: n.n.n.n. No hay registro de red dhcp correspondiente. Causa: La direccin IP que se iba a ofrecer a un cliente DHCP no tiene un registro en una tabla de red. Este error indica que el registro de la direccin IP se elimin de la tabla de red DHCP despus de seleccionar la direccin. Este error solo puede suceder durante el breve intervalo antes de terminar de comprobar la direccin duplicada.
Solucin: Utilice DHCP Manager o el comando pntadm para ver la tabla de red DHCP. Si falta
la direccin IP, crela con DHCP Manager eligiendo Crear en el men Edicin de la tabla Direccin. Tambin puede crear la direccin IP con el comando pntadm. Registro de red DHCP para n.n.n.n no disponible, solicitud ignorada. Causa: El registro de la direccin IP solicitada no est en la tabla de red DHCP, de modo que el servidor abandona la solicitud.
Solucin: Utilice DHCP Manager o el comando pntadm para ver la tabla de red DHCP. Si falta
la direccin IP, crela con DHCP Manager eligiendo Crear en el men Edicin de la tabla Direccin. Tambin puede crear la direccin IP con el comando pntadm. n.n.n.n actualmente marcada como no utilizable. Causa: La direccin IP solicitada no se puede ofrecer porque se ha marcado como no utilizable en la tabla de red.
Solucin: Utilice DHCP Manager o el comando pntadm para marcar la direccin como utilizable.
n.n.n.n se ha asignado manualmente. No se asignar ninguna direccin dinmica. Causa: Se ha asignado manualmente una direccin al ID de cliente, y se ha marcado la direccin como no utilizable. El servidor no puede asignar a este cliente una direccin distinta.
Solucin: Utilice DHCP Manager o el comando pntadm para hacer que la direccin sea utilizable, o asigne manualmente al cliente una direccin distinta.
La asignacin manual (n.n.n.n, ID de cliente) tiene otros n registros. Debera tener 0. Causa: Se ha asignado manualmente ms de una direccin IP al cliente con el ID especificado. Solo se debe asignar una direccin por cliente. El servidor selecciona la ltima direccin asignada que encuentra en la tabla de red.
Solucin: Utilice DHCP Manager o el comando pntadm para modificar direcciones IP y eliminar las asignaciones manuales adicionales.
No hay ms direcciones IP en la red n.n.n.n. Causa: Se han asignado todas las direcciones IP actualmente gestionadas por DHCP en la red especificada.
Solucin: Utilice DHCP Manager o el comando pntadm para crear nuevas direcciones IP para
esta red. El permiso del cliente: ID_cliente en n.n.n.n ha caducado. Causa: El permiso no era negociable y ha caducado.
Solucin: El cliente deber iniciar automticamente el protocolo para obtener un nuevo permiso.
Ha caducado la oferta para el cliente: n.n.n.n Causa: El servidor ha hecho una oferta de direccin IP al cliente, pero el cliente ha tardado demasiado en responder y la oferta ha caducado.
Solucin: El cliente deber emitir automticamente otro mensaje de descubrimiento. Si este mensaje caduca tambin, aumente el tiempo de caducidad de ofertas del servidor DHCP. En el Administrador de DHCP, elija Modify en el men Service.
El permiso del cliente: ID_cliente le falta la opcin de IP solicitada. Causa: La solicitud del cliente no especificaba la direccin IP ofrecida, de modo que el servidor DHCP ha hecho caso omiso de la solicitud. Este problema puede presentarse si se utiliza un cliente DHCP de otro fabricante que no sea compatible con el protocolo DHCP actualizado, RFC 2131.
Solucin de problemas de configuracin del cliente DHCP
Solucin: Actualice el software cliente.
El permiso del cliente: ID_cliente est intentando renovar n.n.n.n, una direccin IP a la que no ha dado permiso. Causa: La direccin IP de este cliente en la tabla de red DHCP no coincide con la direccin IP especificada en su solicitud de renovacin. El servidor DHCP no renueva el permiso. Este problema se puede presentar al borrar un registro del cliente mientras este est an utilizando la direccin IP.
Solucin: Utilice DHCP Manager o el comando pntadm para examinar la table de red y corregir el registro del cliente en caso necesario. El ID del cliente debe estar vinculado a la direccin IP especificada. Si no est vinculado a ella, edite las propiedades de la direccin para agregar el ID del cliente.
El permiso del cliente: ID_cliente est intentando verificar la direccin no registrada: n.n.n.n, ignorada. Causa: El cliente especificado no se ha registrado en la tabla de red DHCP con esta direccin, de modo que este servidor DHCP hace caso omiso de la solicitud. Es posible que otro servidor DHCP de la red haya asignado la direccin al cliente. Sin embargo, puede que haya eliminado tambin el registro del cliente mientras este an estaba utilizando la direccin IP.
Solucin: Utilice DHCP Manager o el comando pntadm para examinar la tabla de red de este servidor y otros servidores DHCP de la red. Efecte las correcciones necesarias.
Tambin puede no hacer nada y permitir que el permiso caduque. El cliente solicitar automticamente un nuevo permiso de direccin. Si quiere que el cliente obtenga un nuevo permiso inmediatamente, reinicie el protocolo DHCP en el cliente mediante los comandos siguientes:
ifconfig interface dhcp release ifconfig interface dhcp start

Los problemas que pueden aparecen con un cliente DHCP pertenecen a alguna de las siguientes categoras:

Problemas de comunicacin con el servidor DHCP en la pgina 476 Problemas por informacin de configuracin DHCP incorrecta en la pgina 485
475
Captulo 17 Solucin de problemas de DHCP (referencia)
Problemas de comunicacin con el servidor DHCP

En esta seccin se describen los problemas que se pueden presentar al agregar clientes DHCP a la red. Despus de activar el software cliente y rearrancar el sistema, el cliente intentar conectar con el servidor DHCP para obtener su configuracin de red. Si el cliente no puede acceder al servidor, es posible que se muestren mensajes de error similares a los siguientes:
DHCP or BOOTP server not responding
Antes de poder determinar el problema, deber reunir informacin de diagnstico del cliente y del servidor. Para recopilar esta informacin, efecte las siguientes tareas: 1. Cmo ejejcutar el cliente DHCP en modo de depuracin en la pgina 476 2. Cmo ejecutar el servidor DHCP en modo de depuracin en la pgina 477 3. Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 Puede llevar a cabo estos procesos de forma independiente o simultnea. La informacin recogida puede ayudarle a determinar si el problema es del cliente, del servidor o de un agente de reenvo. Esto le permitir hallar una solucin.
Cmo ejejcutar el cliente DHCP en modo de depuracin

Si no es un cliente DHCP de Solaris, consulte la documentacin del cliente para obtener informacin sobre como ejecutarlo en modo de depuracin. Si tiene un cliente DHCP de Solaris, siga estos pasos.
1 2
Asgnese los privilegios de superusuario en el sistema del cliente DHCP. Finalice el daemon del cliente DHCP.
# pkill -x dhcpagent
Reinicie el daemon en modo de depuracin.

# /sbin/dhcpagent -d1 -f &
La opcin -d pone el cliente DHCP en modo de depuracin con detalle de nivel 1. La opcin -f hace que la salida se enve a la consola en lugar de a syslog.
4
Configure la interfaz para que inicie la negociacin DHCP.

# ifconfig interface dhcp start
Sustituya interfaz por el nombre de la interfaz de red del cliente, por ejemplo ge0.
Cuando se ejcuta en modo de depuracin, el daemon del cliente muestra mensajes en pantalla mientras atiende las solicitudes de DHCP. Consulte Salida del cliente DHCP en modo de depuracin en la pgina 478 para obtener informacin sobre la salida del cliente en dicho modo.
Cmo ejecutar el servidor DHCP en modo de depuracin

1 2
Convirtase en superusuario en el sistema del servidor. Detenga temporalmente el servidor DHCP.

# svcadm disable -t svc:/network/dhcp-server
Tambin puede utilizar DHCP Manager o dhcpconfig para detener el servidor.

3
Reinicie el daemon en modo de depuracin.

# /usr/lib/inet/in.dhcpd -d -v
Deber utilizar tambin las opciones de lnea de comandos de in.dhcpd que utiliza normalmente al ejecutar el daemon. Por ejemplo, si ejecuta el daemon como agente de reenvo BOOTP, incluya la opcin -r en el comando in.dhcpd -d -v. Cuando se ejecuta en modo de depuracin, el daemon muestra mensajes en pantalla mientras procesa las solicitudes de DHCP o BOOTP. Consulte Salida del servidor DHCP en modo de depuracin en la pgina 479 para obtener informacin sobre la depuracin del servidor.
Cmo utilizar snoop para supervisar el trfico DHCP en la red

1 2
Asgnese los privilegios de superusuario en el sistema del servidor DHCP. Inicie snoop para empezar a rastrear el trfico de red que pasa por la interfaz de red del servidor.
# /usr/sbin/snoop -d interface -o snoop-output-filename udp port 67 or udp port 68
Por ejemplo, escriba el comando siguiente:

# /usr/sbin/snoop -d hme0 -o /tmp/snoop.output udp port 67 or udp port 68
snoop sigue supervisando la interfaz hasta que detenga snoop pulsando Control-C cuando ya tenga la informacin que necesita.
3
Arranque el sistema cliente o reinicie dhcpagent en l. En Cmo ejejcutar el cliente DHCP en modo de depuracin en la pgina 476 se indca cmo reiniciar dhcpagent.
477
En el sistema servidor, utilice snoop para mostrar el archivo de salida con el contenido de los paquetes de red:
# /usr/sbin/snoop -i snoop-output-filename -x0 -v
Por ejemplo, escriba el comando siguiente: # /usr/sbin/snoop -i /tmp/snoop.output -x0 -v

Vase tambin
ConsulteSalida de snoop en DHCP en la pgina 482 para obtener informacin de interpretacin de la salida.
Salida del cliente DHCP en modo de depuracin

En el ejemplo siguiente se muestra una salida normal cuando un cliente DHCP en modo de depuracin enva su solicitud DHCP y recibe su informacin de configuracin de un servidor DHCP.
EJEMPLO 171
Salida normal del cliente DHCP en modo de depuracin debug: set_packet_filter: set filter 0x27fc8 (DHCP filter) debug: init_ifs: initted interface hme0 debug: insert_ifs: hme0: sdumax 1500, optmax 1260, hwtype 1, hwlen 6 debug: insert_ifs: inserted interface hme0 debug: register_acknak: registered acknak id 5 debug: unregister_acknak: unregistered acknak id 5 debug: set_packet_filter: set filter 0x26018 (ARP reply filter) info: setting IP netmask on hme0 to 255.255.192.0 info: setting IP address on hme0 to 10.23.3.233 info: setting broadcast address on hme0 to 10.23.63.255 info: added default router 10.23.0.1 on hme0 debug: set_packet_filter: set filter 0x28054 (blackhole filter) debug: configure_if: bound ifsp->if_sock_ip_fd info: hme0 acquired lease, expires Tue Aug 10 16:18:33 2006 info: hme0 begins renewal at Tue Aug 10 15:49:44 2006 info: hme0 begins rebinding at Tue Aug 10 16:11:03 2006
/sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent:
Si el cliente no puede acceder al servidor DHCP, es posible que la salida del modo de depuracin sea similar a este ejemplo.
EJEMPLO 172
Salida del cliente DHCP en modo de depuracin que indica que hay algn problema debug: debug: debug: debug: debug: set_packet_filter: set filter 0x27fc8 (DHCP filter) init_ifs: initted interface hme0 select_best: no valid OFFER/BOOTP reply select_best: no valid OFFER/BOOTP reply select_best: no valid OFFER/BOOTP reply
/sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent: /sbin/dhcpagent:

478
EJEMPLO 172 Salida del cliente DHCP en modo de depuracin que indica que hay algn problema (Continuacin)
Si se muestra este mensaje, la solicitud del cliente no ha llegado al servidor o el servidor no puede enviar una respuesta al cliente. Ejecute snoop en el servidor segn se describe en Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 para determinar si los paquetes del cliente han llegado al servidor.
Salida del servidor DHCP en modo de depuracin

Una salida normal del servidor en modo de depuracin contiene informacin de configuracin del servidor y, a continuacin, informacin acerca de cada una de las interfaces de red a medida que el daemon se inicia. Tras el inicio del daemon, la salida del modo de depuracin contiene informacin acerca de las solicitudes procesadas por el daemon. El Ejemplo 173 muestra la salida del modo de depuracin de un servidor DHCP que se acaba de iniciar. El servidor ampla el permiso para un cliente que utiliza una direccin propiedad de otro servidor DHCP que no responde.
EJEMPLO 173
Salida normal de un servidor DHCP en modo de depuracin
Daemon Version: 3.1 Maximum relay hops: 4 Transaction logging to console enabled. Run mode is: DHCP Server Mode. Datastore: nisplus Path: org_dir.dhcp.test..:dhcp.test..:$ DHCP offer TTL: 10 Ethers compatibility enabled. BOOTP compatibility enabled. ICMP validation timeout: 1000 milliseconds, Attempts: 2. Monitor (0005/hme0) started... Thread Id: 0005 - Monitoring Interface: hme0 ***** MTU: 1500 Type: DLPI Broadcast: 10.21.255.255 Netmask: 255.255.0.0 Address: 10.21.0.2 Monitor (0006/nf0) started... Thread Id: 0006 - Monitoring Interface: nf0 ***** MTU: 4352 Type: DLPI Broadcast: 10.22.255.255 Netmask: 255.255.0.0 Address: 10.22.0.1 Monitor (0007/qfe0) started... Thread Id: 0007 - Monitoring Interface: qfe0 ***** MTU: 1500 Type: DLPI
EJEMPLO 173
Salida normal de un servidor DHCP en modo de depuracin
(Continuacin)
Broadcast: 10.23.63.255 Netmask: 255.255.192.0 Address: 10.23.0.1 Read 33 entries from DHCP macro database on Tue Aug 10 15:10:27 2006 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A is requesting verification of address owned by 10.21.0.4 Datagram received on network device: qfe0 Client: 0800201DBA3A maps to IP: 10.23.3.233 Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A DHCP EXTEND 0934312543 0934316143 10.23.3.233 10.21.0.2 0800201DBA3A SUNW.Ultra-5_10 0800201DBA3A
El Ejemplo 174 muestra la salida del modo de depuracin de un daemon DHCP que se inicia como agente de reenvo BOOTP. El agente reenva solicitudes de un cliente a un servidor DHCP, y reenva las respuestas del servidor al cliente.
EJEMPLO 174
Salida normal de agente de reenvo BOOTP en modo de depuracin
Relay destination: 10.21.0.4 (blue-servr2) network: 10.21.0.0 Daemon Version: 3.1 Maximum relay hops: 4 Transaction logging to console enabled. Run mode is: Relay Agent Mode. Monitor (0005/hme0) started... Thread Id: 0005 - Monitoring Interface: hme0 ***** MTU: 1500 Type: DLPI Broadcast: 10.21.255.255 Netmask: 255.255.0.0 Address: 10.21.0.2 Monitor (0006/nf0) started... Thread Id: 0006 - Monitoring Interface: nf0 ***** MTU: 4352 Type: DLPI Broadcast: 10.22.255.255 Netmask: 255.255.0.0 Address: 10.22.0.1 Monitor (0007/qfe0) started... Thread Id: 0007 - Monitoring Interface: qfe0 ***** MTU: 1500 Type: DLPI Broadcast: 10.23.63.255 Netmask: 255.255.192.0
EJEMPLO 174
Salida normal de agente de reenvo BOOTP en modo de depuracin
(Continuacin)
Address: 10.23.0.1 Relaying request 0800201DBA3A to 10.21.0.4, server port. BOOTP RELAY-SRVR 0934297685 0000000000 0.0.0.0 10.21.0.4 0800201DBA3A N/A 0800201DBA3A Packet received from relay agent: 10.23.0.1 Relaying reply to client 0800201DBA3A Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A BOOTP RELAY-CLNT 0934297688 0000000000 10.23.0.1 10.23.3.233 0800201DBA3A N/A 0800201DBA3A Relaying request 0800201DBA3A to 10.21.0.4, server port. BOOTP RELAY-SRVR 0934297689 0000000000 0.0.0.0 10.21.0.4 0800201DBA3A N/A 0800201DBA3A Packet received from relay agent: 10.23.0.1 Relaying reply to client 0800201DBA3A Unicasting datagram to 10.23.3.233 address. Adding ARP entry: 10.23.3.233 == 0800201DBA3A
Si hay algn problema con DHCP, la salida del modo de depuracuin puede contener advertencias o mensajes de error. Utilice la siguiente lista de mensajes de error del servidor DHCP para encontrar soluciones. Respuesta de ICMP ECHO al candidato de OFFER: direccin_ip desactivando Causa: Antes de que el servidor DHCP ofrezca una direccin IP a un cliente, el servidor enva un ping a la direccin para comprobar que no se est utilizando. Si algn cliente responde, la direccin se est utilizando.
Solucin: Asegrese de que las direcciones configuradas no se estn utilizando. Puede utilizar para ello el comando ping. Para ms informacin consulte la pgina de comando manping(1M).
No hay ms direcciones IP en la red direccin_red. Causa: No hay direcciones IP disponibles en la tabla de red DHCP asociada con la red del cliente.
Solucin: Cree ms direcciones IP mediante DHCP Manager o el comando pntadm. Si el daemon de DHCP est supervisando varias subredes, compruebe que las direcciones adicionales son para la subred en la que se encuentra el cliente. Para ms informacin consulte Cmo agregar direcciones IP al servicio DHCP en la pgina 399.
481
No hay mas direcciones IP para la red direccin_red cuando se ejcuta el daemon de DHCP en modo de compatibilidad con BOOTP. Causa: BOOTP no utiliza tiempos de permiso, de modo que el servidor DHCP busca direcciones libres con el indicador BOOTP activado para asignar a clientes BOOTP.
Solucin: Utilice DHCP Manager para asignar direcciones BOOTP. Para ms informacin
consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392. Solicitud de acceso a base de datos por red inexistente: nombre_base_datos en almacn de datos: almacn_datos. Causa: Durante la configuracin del servidor DHCP no se ha creado una tabla de red DHCP para una subred.
Solucin: Utilice DHCP Manager o el comando pntadm para crear la tabla de red DHCP y nuevas direcciones IP. Consulte Cmo agregar redes DHCP en la pgina 385.
No existe la tabla de red DHCP nombre_tabla para la red del cliente DHCP. Causa: Durante la configuracin del servidor DHCP no se ha creado una tabla de red DHCP para una subred.
Solucin: Utilice DHCP Manager o el comando pntadm para crear la tabla de red DHCP y nuevas direcciones IP. Consulte Cmo agregar redes DHCP en la pgina 385.
El cliente utiliza una cookie de BOOTP no compatible con RFC1048. Causa: Un dispositivo de la red est intentando acceder a una implementacin incompatible de BOOTP.
Solucin: Haga caso omiso de este mensaje a menos que tenga necesidad de configurar el dispositivo. Si quiere que el dispositivo sea compatible, consulte Clientes BOOTP con el servicio DHCP (mapa de tareas) en la pgina 392 para ms informacin.
Salida de snoop en DHCP

En la salida de snoop podr ver los paquetes intercambiados entre el sistema cliente DHCP y el sistema servidor DHCP. La direccin IP de cada sistema est indicada en el paquete. Tambin se incluyen las direcciones IP de los encaminadores o agentes de reenvo que se encuentran en el camino del paquete. Si los sistemas no intercambian paquetes, es posible que el sistema cliente no pueda ponerse en contacto con el sistema servidor. El problema se encuentra en un nivel inferior. Para evaluar la salida de snoop deber saber cul es el comportamiento esperado. Deber saber, por ejemplo, si la solicitud debe pasar por un agente de reenvo BOOTP. Tambin deber saber las direcciones MAC e IP de los sistemas implicados par poder determinar si se trata de los valores esperados. Si hay ms de una interfaz de red, deber conocer tambin las direcciones de las interfaces de red.
En el ejemplo siguiente se muestra una salida normal de snoop para un mensaje de reconocimiento (ACK) de DHCP enviado desde el servidor en blue-servr2 a un cliente cuya direccin MAC es 8:0:20:8e:f3:7e . En el mensaje, el servidor asigna al cliente la direccin IP 192.168.252.6 y el nombre de host white-6. El mensaje incluye tambin diversas opciones de red estndar y varias opciones de cliente especficas del proveedor.
EJEMPLO 175
Ejemplo de salida de snoop para un paquete
ETHER: ----- Ether Header ----ETHER: ETHER: Packet 26 arrived at 14:43:19.14 ETHER: Packet size = 540 bytes ETHER: Destination = 8:0:20:8e:f3:7e, Sun ETHER: Source = 8:0:20:1e:31:c1, Sun ETHER: Ethertype = 0800 (IP) ETHER: IP: ----- IP Header ----IP: IP: Version = 4 IP: Header length = 20 bytes IP: Type of service = 0x00 IP: xxx. .... = 0 (precedence) IP: ...0 .... = normal delay IP: .... 0... = normal throughput IP: .... .0.. = normal reliability IP: Total length = 526 bytes IP: Identification = 64667 IP: Flags = 0x4 IP: .1.. .... = do not fragment IP: ..0. .... = last fragment IP: Fragment offset = 0 bytes IP: Time to live = 254 seconds/hops IP: Protocol = 17 (UDP) IP: Header checksum = 157a IP: Source address = 10.21.0.4, blue-servr2 IP: Destination address = 192.168.252.6, white-6 IP: No options IP: UDP: ----- UDP Header ----UDP: UDP: Source port = 67 UDP: Destination port = 68 (BOOTPC) UDP: Length = 506 UDP: Checksum = 5D4C UDP: DHCP: ----- Dynamic Host Configuration Protocol ----DHCP: DHCP: Hardware address type (htype) = 1 (Ethernet (10Mb)) DHCP: Hardware address length (hlen) = 6 octets DHCP: Relay agent hops = 0
EJEMPLO 175
Ejemplo de salida de snoop para un paquete
(Continuacin)
DHCP: Transaction ID = 0x2e210f17 DHCP: Time since boot = 0 seconds DHCP: Flags = 0x0000 DHCP: Client address (ciaddr) = 0.0.0.0 DHCP: Your client address (yiaddr) = 192.168.252.6 DHCP: Next server address (siaddr) = 10.21.0.2 DHCP: Relay agent address (giaddr) = 0.0.0.0 DHCP: Client hardware address (chaddr) = 08:00:20:11:E0:1B DHCP: DHCP: ----- (Options) field options ----DHCP: DHCP: Message type = DHCPACK DHCP: DHCP Server Identifier = 10.21.0.4 DHCP: Subnet Mask = 255.255.255.0 DHCP: Router at = 192.168.252.1 DHCP: Broadcast Address = 192.168.252.255 DHCP: NISPLUS Domainname = dhcp.test DHCP: IP Address Lease Time = 3600 seconds DHCP: UTC Time Offset = -14400 seconds DHCP: RFC868 Time Servers at = 10.21.0.4 DHCP: DNS Domain Name = sem.example.com DHCP: DNS Servers at = 10.21.0.1 DHCP: Client Hostname = white-6 DHCP: Vendor-specific Options (166 total octets): DHCP: (02) 04 octets 0x8194AE1B (unprintable) DHCP: (03) 08 octets "pacific" DHCP: (10) 04 octets 0x8194AE1B (unprintable) DHCP: (11) 08 octets "pacific" DHCP: (15) 05 octets "xterm" DHCP: (04) 53 octets "/export/s2/base.s2s/latest/Solaris_8/Tools/Boot" DHCP: (12) 32 octets "/export/s2/base.s2s/latest" DHCP: (07) 27 octets "/platform/sun4u/kernel/unix" DHCP: (08) 07 octets "EST5EDT" 0: 0800 208e f37e 0800 201e 31c1 0800 4500 .. .~.. .1...E. 16: 020e fc9b 4000 fe11 157a ac15 0004 c0a8 ....@....z...... 32: fc06 0043 0044 01fa 5d4c 0201 0600 2e21 ...C.D..]L.....! 48: 0f17 0000 0000 0000 0000 c0a8 fc06 ac15 ................ 64: 0002 0000 0000 0800 2011 e01b 0000 0000 ........ ....... 80: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 96: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 112: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 128: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 144: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 160: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 176: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 192: 0000 0000 0000 0000 0000 0000 0000 0000 ................
EJEMPLO 175
Ejemplo de salida de snoop para un paquete 0000 0000 0000 0000 0000 0401 a8fc 0000 0f10 6f6d 362b 7469 7469 6f72 735f 6172 740c 6173 6573 756e 0807 0000 0000 0000 0000 0000 04ff ff40 0e10 736e 0604 a602 630a 630f 742f 776f 6973 202f 652e 7407 346d 4553 0000 0000 0000 0000 6382 ffff 0964 0204 742e ac15 0481 0481 0578 7332 732f 5f38 6578 7332 1b2f 2f6b 5435 0000 0000 0000 0000 5363 0003 6863 ffff 6561 0001 94ae 94ae 7465 382f 6c61 2f54 706f 3873 706c 6572 4544 0000 0000 0000 0000 3501 04c0 702e c7c0 7374 0c07 1b03 1b0b 726d 6261 7465 6f6f 7274 5f77 6174 6e65 54ff 0000 0000 0000 0000 0536 a8fc 7465 0404 2e73 7768 0861 0861 0435 7365 7374 6c73 2f73 6f73 666f 6c2f 0000 0000 0000 0000 04ac 011c 7374 ac15 756e 6974 746c 746c 2f65 2e73 2f53 2f42 3238 2f6c 726d 756e
(Continuacin) ................ ................ ................ ................ ......c.Sc5..6.. ................ .....@.dhcp.test 3............... ....sem.example. com.........whit e-6+.........pac ific.........pac ific...xterm.5/e xport/sx2/bcvf.s 2xs_btf/latest/S olaris_x/Tools/B oot. /export/s2x /bcvf.s2xs_btf/l atest../platform /sun4u/kernel/un ix..EST5EDT.
208: 224: 240: 256: 272: 288: 304: 320: 336: 352: 368: 384: 400: 416: 432: 448: 464: 480: 496: 512: 528:
0000 0000 0000 0000 0000 1500 04c0 3304 0004 2e63 652d 616e 616e 7870 3238 6f6c 6f6f 2f62 6174 2f73 6978
Problemas por informacin de configuracin DHCP incorrecta

Si un cliente DHCP recibe informacin de configuracin de red incorrecta, examine los datos del servidor DHCP. Deber examinar los valores de las opciones en las macros que el servidor DHCP procesa para este cliente. Informacin incorrecta puede ser, por ejemplo, un nombre de dominio NIS o una direccin IP de encaminador errneos. Utilice las siguientes pautas generales para determinar el origen de la informacin incorrecta:
Examine las macros definidas en el servidor tal como se describe en Cmo visualizar las macros definidas en un servidor DHCP (Administrador de DHCP) en la pgina 413. Revise la informacin en Orden del procesamiento de macros en la pgina 331 y determine qu macros se procesan automticamente para este cliente. Examine la tabla de red para determinar si se asigna alguna macro a la direccin IP del cliente como macro de configuracin y, en su caso, cul es. Para ms informacin consulte Uso de direcciones IP en el servicio DHCP (mapa de tareas) en la pgina 395. Anote las opciones que aparecen en ms de una macro. Asegrese de que el valor deseado para una opcin se configura en la ltima macro procesada. Edite la macro o macros necesarias para garantizar que se pasa el valor correcto al cliente. Consulte Modificacin de macros DHCP en la pgina 414.
485
Problemas con el nombre de host proporcionado por el cliente DHCP

En esta seccin se describen los posibles problemas con clientes DHCP que proporcionan sus propios nombres de host para registrarse con DNS.
El cliente DHCP no solicita un nombre de host

Si su cliente no es un cliente DHCP de Solaris, consulte la documentacin para determinar la forma de configurar el cliente para que solicite un nombre de host. Para los clientes DHCP de Solaris, consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459.
El cliente DHCP no obtiene el nombre de host solicitado

En la lista siguiente se describen los problemas que puede experimentar un cliente para obtener el nombre de host solicitado, y las soluciones que se sugieren.
Problema: El cliente ha aceptado una oferta de un servidor DHCP que no emite actualizaciones
de DNS.
Solucin: Si el cliente tiene disponibles dos servidores DHCP, ambos se deben configurar para proporcionar actualizaciones de DNS. Consulte Habilitacin de las actualizaciones DNS dinmicas por parte del servidor DHCP en la pgina 376 para obtener informacin sobre la configuracin del servidor DHCP y del servidor DNS.
Para determinar si el servidor DHCP est configurado para proporcionar actualizaciones de DNS: 1. Determine la direccin IP del servidor DHCP del cliente. En el sistema cliente, utilice snoop u otra aplicacin para capturar paquetes de red. Consulte Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 y efecte el procedimiento en el cliente en lugar de hacerlo en el servidor. En la salida de snoop, busque el identificador del servidor DHCP para obtener la direccin IP del servidor. 2. Inicie sesin en el sistema servidor DHCP para comprobar que est configurado para efectuar actualizaciones de DNS. Escriba el siguiente comando como superusuario: dhcpconfig -P Si aparece UPDATE_TIMEOUT como parmetro de servidor, el servidor DHCP est configurado para efectuar actualizaciones de DNS. 3. En el servidor DNS, examine el archivo /etc/named.conf. Busque la palabta clave allow-update en la seccin zone del dominio apropiado. Si el servidor permite que el servidor DHCP efecte actualizaciones de DNS, la direccin IP del servidor DHCP aparecer en la palabra clave allow-update.
Problema: El cliente utiliza la opcin FQDN para especificar el nombre de host. Solaris DHCP no es actualmente compatible ocn la opcin FQDN porque no es una opcin oficial del protocolo DHCP. Solucin: En el servidor, utilice snoop u otra aplicacin para capturar paquetes de red. Consulte
Cmo utilizar snoop para supervisar el trfico DHCP en la red en la pgina 477 En la salida de snoop, busque la opcin FQDN en un paquete del cliente. Configure el cliente para que especifique el nombre de host con la opcin Hostname. Hostname tiene el cdigo de opcin 12. Consulte la documentacin de cliente para obtener instrucciones. Para un cliente de Solaris, consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459.
Problema: El servidor DHCP que efecta una oferta de direccin al cliente no conoce el dominio
DNS de este.
Solucin: En el servidor DHCP, busque la opcin DNSdmain con un valor vlido. Configure la
opcin DNSdmain con el dominio DNS correcto en una macro procesada para este cliente. DNSdmain suele estar incluida en la macro de red. Consulte Modificacin de macros DHCP en la pgina 414 para obtener informacin sobre cmo cambiar los valores de las opciones de una macro.
Problema: El nombre de host solicitado por el cliente corresponde a una direccin IP no
gestionada por el servidor DHCP. El servidor DHCP de Solaris no efecta actualizaciones de DNS para direcciones IP que no gestiona.
Solucin: Examinesyslog y busque uno de los siguientes mensajes del servidor DHCP:

There is no n.n.n.n dhcp-network table for DHCP clients network. DHCP network record for n.n.n.n is unavailable, ignoring request.
Configure el cliente para que solicite un nombre distinto. Consulte Cmo activar un cliente DHCPv4 de Solaris para que solicite un nombre de host especfico en la pgina 459. Elija un nombre asignado a una de las direcciones gestionadas por el servidor DHCP. Puede acceder a las asignaciones de direcciones en la ficha Direcciones de DHCP Manager. Tambin puede elegir una direccin que no est asignada a ninguna direccin IP.
Problema: El nombre de host solicitado por el cliente corresponde a una direccin IP no
disponible actualmente. Es posible que la direccin se est utilizando, se haya asignado a otro cliente o se haya ofrecido a otro cliente.
Solucin: Examinesyslog y busque el siguiente mensaje del servidor DHCP: ICMP ECHO reply to OFFER candidate: n.n.n.n.
Configure el cliente para que elija un nombre que corresponda a una direccin IP distinta. Tambin puede recuperar la direccin del cliente que la est utilizando.
487
Problema: El servidor DNS no est configurado para aceptar actualizaciones del servidor DHCP. Solucin: Examine el archivo /etc/named.conf del servidor DNS. Busque la direccin IP del servidor DHCP con la palabra clave allow-update en la seccin zone apropiada del dominio del servidor DHCP. Si no encuentra la direccin IP, el servidor DNS no est configurado para aceptar actualizaciones del servidor DHCP. Consulte Cmo activar la actualizacin de DNS dinmica para los clientes DHCP en la pgina 377 para obtener informacin sobre la configuracin del servidor DNS. Si el servidor DHCP tiene varias interfaces, quiz deba configurar el servidor DNS para que acepte actualizaciones de todas las direcciones del servidor DHCP. Active el modo de depuracin en el servidor DNS para ver si le estn llegando las actualizaciones. Si el servidor DNS ha recibido solicitudes de actualizacin, examine la salida del modo de depuracin para determinar por qu no se han producido las actualizaciones. Consulte la pgina de comando man in.named.1M para obtener informacin sobre el modo de depuracin de DNS. Problema: Es posible que las actualizaciones de DNS no se hayan completado en el tiempo asignado. Los servidores DHCP no devuelven nombres de host a los clientes si las actualizaciones de DNS no se han completado antes del lmite de tiempo configurado. Sin embargo, los intentos de completar las actualizaciones de DNS no se interrumpen. Solucin: Utilice el comando nslookup para determinar si las actualizaciones se han completado satisfactoriamente. Consulte la pgina de comando man nslookup(1M). Por ejemplo, supongamos que el dominio DNS es hills.example.org y la direccin IP del servidor DNS es 10.76.178.11. El nombre de host que el cliente desea registrar es cathedral. Puede utilizar el comando siguiente para determinar si cathedral se ha registrado con ese servidor DNS: nslookup cathedral.hills.example.org 10.76.178.11 Si las actualizaciones se han efectuado satisfactoriamente, pero no en el tiempo asignado, deber aumentar el tiempo. Consulte Cmo activar la actualizacin de DNS dinmica para los clientes DHCP en la pgina 377. En este procedimiento deber aumentar el nmero de segundos durante los que se debe esperar una respuesta del servidor DNS antes de que se agote el tiempo.
488
18
C A P T U L O

1 8
Comandos y archivos DHCP (referencia)
En este captulo se explican las relaciones entre los comandos DHCP y los archivos DHCP. En l no se explica el uso de los comandos. El captulo contiene la informacin siguiente: Comandos DHCP en la pgina 489 Archivos que utiliza el servicio DHCP en la pgina 497 Informacin de opciones DHCP en la pgina 499
Comandos DHCP
En la tabla siguiente se enumeran los comandos que se pueden utilizar para gestionar DHCP en la red.
TABLA 181 Orden
Comandos utilizados en DHCP

Descripcin Pgina de comando man
dhtadm
Se emplea para efectuar cambios en las opciones y macros de dhcptab. Este comando resulta til en secuencias creadas para automatizar los cambios en la informacin DHCP. Utilice dhtadm con la opcin -P y redirija la salida al comando grep para buscar de forma rpida valores especficos de opciones en la tabla dhcptab. Se utiliza para efectuar cambios en las tablas de red DHCP que asignan ID de cliente a direcciones IP y, de foram opcional, asocian informacin de configuracin con direcciones IP. Se usa para configurar y desconfigurar servidors DHCP y agentes de reenvo BOOTP. Tambin se utiliza para convertir a un formato de almacn de datos distinto y para importar y exportar datos de configuracin DHCP.
dhtadm(1M)
pntadm
pntadm(1M)
dhcpconfig
dhcpconfig(1M)
489
Comandos DHCP
TABLA 181 Orden
Comandos utilizados en DHCP

Descripcin
(Continuacin)
Pgina de comando man
in.dhcpd
Daemon del servidor DHCP. El daemon se inicia al iniciarse el sistema. No es conveniente iniciar el daemon del servidor directamente. Utilice DHCP Manager, el comando svcadm o dhcpconfig para iniciar y detener el daemon. El daemon solo se debe llamar directamente para ejecutar el servidor en modo de depuracin y para resolver problemas.
in.dhcpd(1M)
dhcpmgr
DHCP Manager, una interfaz grfica de usuario (GUI) que se utiliza para dhcpmgr(1M) la configuracin y gestin del servicio DHCP. DHCP Manager es la herramienta recomendada para gestionar DHCP de Solaris. Se utiliza en el arranque del sistema para asignar direcciones IP a ifconfig(1M) interfaces de red, configurar parmetros de red o ambas funciones. En un cliente DHCP de Solaris, ifconfig inicia DHCP para obtener los parmetros (incluida la direccin IP) necesarios para configurar una interfaz de red. Lo utilizan las secuencias de inicio de los sistemas cliente de Solaris para dhcpinfo(1) obtener informacin (como el nombre de host) para el daemon del cliente DHCP, dhcpagent. Tambin se puede utilizar dhcpinfo en secuencias o en la lnea de comandos para obtener valores de parmetros especficos. Se utiliza para capturar y mostrar el contenido de paquetes que circulan por la red. snoop resulta til para resolver problemas del servicio DHCP. El daemon del cliente DHCP, que implementa el extrremo cliente del protocolo DHCP. snoop(1M)
ifconfig
dhcpinfo
snoop
dhcpagent
dhcpagent(1M)
Ejecucin de comandos DHCP en secuencias

Los comandos dhcpconfig, dhtadm y pntadm estn optimizados para su uso en secuencias. En particular, el comando pntadm es til para crear una gran cantidad de entradas de direccin IP en una tabla de red DHCP. En la siguiente secuencia de ejemplo se utiliza pntadm en modo de proceso por lotes para crear direcciones IP.
EJEMPLO 181
Secuencia addclient.ksh con el comando pntadm
#! /usr/bin/ksh # # This script utilizes the pntadm batch facility to add client entries # to a DHCP network table. It assumes that the user has the rights to # run pntadm to add entries to DHCP network tables. # # Based on the nsswitch setting, query the netmasks table for a netmask. # Accepts one argument, a dotted IP address.
Comandos DHCP
EJEMPLO 181
(Continuacin)
# get_netmask() { MTMP=getent netmasks ${1} | awk { print $2 } if [ ! -z "${MTMP}" ] then print - ${MTMP} fi } # # Based on the network specification, determine whether or not network is # subnetted or supernetted. # Given a dotted IP network number, convert it to the default class # network.(used to detect subnetting). Requires one argument, the # network number. (e.g. 10.0.0.0) Echos the default network and default # mask for success, null if error. # get_default_class() { NN01=${1%%.*} tmp=${1#*.} NN02=${tmp%%.*} tmp=${tmp#*.} NN03=${tmp%%.*} tmp=${tmp#*.} NN04=${tmp%%.*} RETNET="" RETMASK="" typeset -i16 ONE=10#${1%%.*} typeset -i10 X=$((${ONE}&16#f0)) if [ ${X} -eq 224 ] then # Multicast typeset -i10 TMP=$((${ONE}&16#f0)) RETNET="${TMP}.0.0.0" RETMASK="240.0.0.0" fi typeset -i10 X=$((${ONE}&16#80)) if [ -z "${RETNET}" -a ${X} -eq 0 ] then # Class A RETNET="${NN01}.0.0.0" RETMASK="255.0.0.0" fi
Captulo 18 Comandos y archivos DHCP (referencia) 491
Comandos DHCP
EJEMPLO 181
(Continuacin)
typeset -i10 X=$((${ONE}&16#c0)) if [ -z "${RETNET}" -a ${X} -eq 128 ] then # Class B RETNET="${NN01}.${NN02}.0.0" RETMASK="255.255.0.0" fi typeset -i10 X=$((${ONE}&16#e0)) if [ -z "${RETNET}" -a ${X} -eq 192 ] then # Class C RETNET="${NN01}.${NN02}.${NN03}.0" RETMASK="255.255.255.0" fi print - ${RETNET} ${RETMASK} unset NNO1 NNO2 NNO3 NNO4 RETNET RETMASK X ONE } # # Given a dotted form of an IP address, convert it to its hex equivalent. # convert_dotted_to_hex() { typeset -i10 one=${1%%.*} typeset -i16 one=${one} typeset -Z2 one=${one} tmp=${1#*.} typeset -i10 two=${tmp%%.*} typeset -i16 two=${two} typeset -Z2 two=${two} tmp=${tmp#*.} typeset -i10 three=${tmp%%.*} typeset -i16 three=${three} typeset -Z2 three=${three} tmp=${tmp#*.} typeset -i10 four=${tmp%%.*} typeset -i16 four=${four} typeset -Z2 four=${four} hex=print - ${one}${two}${three}${four} | sed -e s/#/0/g print - 16#${hex} unset one two three four tmp }
Comandos DHCP
EJEMPLO 181
(Continuacin)
# # Generate an IP # get_addr() { typeset -i16 typeset -i16 typeset -i16
address given the network address, mask, increment.
net=convert_dotted_to_hex ${1} mask=convert_dotted_to_hex ${2} incr=10#${3}
# Maximum legal value - invert the mask, add to net. typeset -i16 mhosts=~${mask} typeset -i16 maxnet=${net}+${mhosts} # Add the incr value. let net=${net}+${incr} if [ $((${net} < ${maxnet})) -eq 1 ] then typeset -i16 a=${net}\&16#ff000000 typeset -i10 a="${a}>>24" typeset -i16 b=${net}\&16#ff0000 typeset -i10 b="${b}>>16" typeset -i16 c=${net}\&16#ff00 typeset -i10 c="${c}>>8" typeset -i10 d=${net}\&16#ff print - "${a}.${b}.${c}.${d}" fi unset net mask incr mhosts maxnet a b c d } # Given a network address and client address, return the index. client_index() { typeset -i NNO1=${1%%.*} tmp=${1#*.} typeset -i NNO2=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO3=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO4=${tmp%%.*} typeset -i16 NNF1
Comandos DHCP
EJEMPLO 181
(Continuacin)
let NNF1=${NNO1} typeset -i16 NNF2 let NNF2=${NNO2} typeset -i16 NNF3 let NNF3=${NNO3} typeset -i16 NNF4 let NNF4=${NNO4} typeset +i16 NNF1 typeset +i16 NNF2 typeset +i16 NNF3 typeset +i16 NNF4 NNF1=${NNF1#16\#} NNF2=${NNF2#16\#} NNF3=${NNF3#16\#} NNF4=${NNF4#16\#} if [ ${#NNF1} -eq 1 ] then NNF1="0${NNF1}" fi if [ ${#NNF2} -eq 1 ] then NNF2="0${NNF2}" fi if [ ${#NNF3} -eq 1 ] then NNF3="0${NNF3}" fi if [ ${#NNF4} -eq 1 ] then NNF4="0${NNF4}" fi typeset -i16 NN let NN=16#${NNF1}${NNF2}${NNF3}${NNF4} unset NNF1 NNF2 NNF3 NNF4 typeset -i NNO1=${2%%.*} tmp=${2#*.} typeset -i NNO2=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO3=${tmp%%.*} tmp=${tmp#*.} typeset -i NNO4=${tmp%%.*} typeset -i16 NNF1 let NNF1=${NNO1} typeset -i16 NNF2 let NNF2=${NNO2}
Comandos DHCP
EJEMPLO 181
(Continuacin)
typeset -i16 NNF3 let NNF3=${NNO3} typeset -i16 NNF4 let NNF4=${NNO4} typeset +i16 NNF1 typeset +i16 NNF2 typeset +i16 NNF3 typeset +i16 NNF4 NNF1=${NNF1#16\#} NNF2=${NNF2#16\#} NNF3=${NNF3#16\#} NNF4=${NNF4#16\#} if [ ${#NNF1} -eq 1 ] then NNF1="0${NNF1}" fi if [ ${#NNF2} -eq 1 ] then NNF2="0${NNF2}" fi if [ ${#NNF3} -eq 1 ] then NNF3="0${NNF3}" fi if [ ${#NNF4} -eq 1 ] then NNF4="0${NNF4}" fi typeset -i16 NC let NC=16#${NNF1}${NNF2}${NNF3}${NNF4} typeset -i10 ANS let ANS=${NC}-${NN} print - $ANS } # # Check usage. # if [ "$#" != 3 ] then print "This script is used to add client entries to a DHCP network" print "table by utilizing the pntadm batch facilty.\n" print "usage: $0 network start_ip entries\n" print "where: network is the IP address of the network" print " start_ip is the starting IP address \n" print " entries is the number of the entries to add\n"
Comandos DHCP
EJEMPLO 181
(Continuacin)
print "example: $0 10.148.174.0 10.148.174.1 254\n" return fi # # Use input arguments to set script variables. # NETWORK=$1 START_IP=$2 typeset -i STRTNUM=client_index ${NETWORK} ${START_IP} let ENDNUM=${STRTNUM}+$3 let ENTRYNUM=${STRTNUM} BATCHFILE=/tmp/batchfile.$$ MACRO=uname -n # # Check if mask in netmasks table. First try # for network address as given, in case VLSM # is in use. # NETMASK=get_netmask ${NETWORK} if [ -z "${NETMASK}" ] then get_default_class ${NETWORK} | read DEFNET DEFMASK # use the default. if [ "${DEFNET}" != "${NETWORK}" ] then # likely subnetted/supernetted. print - "\n\n###\tWarning\t###\n" print - "Network ${NETWORK} is netmasked, but no entry was found \n in the netmasks table; please update the netmasks \n table in the appropriate nameservice before continuing. \n (See /etc/nsswitch.conf.) \n" >&2 return 1 else # use the default. NETMASK="${DEFMASK}" fi fi # # Create a batch file. # print -n "Creating batch file " while [ ${ENTRYNUM} -lt ${ENDNUM} ] do
Archivos que utiliza el servicio DHCP
EJEMPLO 181
(Continuacin)
if [ $((${ENTRYNUM}-${STRTNUM}))%50 -eq 0 ] then print -n "." fi CLIENTIP=get_addr ${NETWORK} ${NETMASK} ${ENTRYNUM} print "pntadm -A ${CLIENTIP} -m ${MACRO} ${NETWORK}" >> ${BATCHFILE} let ENTRYNUM=${ENTRYNUM}+1 done print " done.\n" # # Run pntadm in batch mode and redirect output to a temporary file. # Progress can be monitored by using the output file. # print "Batch processing output redirected to ${BATCHFILE}" print "Batch processing started." pntadm -B ${BATCHFILE} -v > /tmp/batch.out 2 >&1 print "Batch processing completed."

En la tabla siguiente se enumeran los archivos asociados con DHCP de Solaris.
TABLA 182
Archivos y tablas utilizados por los daemons y comandos DHCP

Nombre de archivo o tabla
dhcptab
Trmino genrico para la tabla que contiene la informacin o configuracin de DHCP registrada en forma de opciones con valores asignados y luego agrupadas en forma de macros. El nombre de la tabla dhcptab y su ubicacin los determinan el almacn de datos que se utiliza para la informacin DHCP. Asigna direcciones IP a ID de cliente y opciones de configuracin. Las tablas de red DHCP se nombran segn la direccin IP de la red, como 10.21.32.0. No hay ningn archivo llamado dhcp_network. El nombre y la ubicacin de las tablas de red DHCP los determina el almacn de datos utilizado para la informacin de DHCP.
dhcptab(4)
Tabla de red DHCP
dhcp_network(4)
Captulo 18 Comandos y archivos DHCP (referencia)
497
TABLA 182

Descripcin
(Continuacin)
dhcpsvc.conf
Almacena opciones de inicio para el daemon DHCP e informacin para el almacn de datos. Este archivo no debe editarse de forma manual. Utilice el comando dhcpconfig para modificar las opciones de inicio. Especifica la ubicacin de las bases de datos de servicios de nombres y el orden en que se debe buscar en los servidores de nombres diversos tipos de informacin. El archivo nsswitch.conf se lee para obtener informacin de configuracin precisa al configurar un servidor DHCP. El archivo se ecnuentra en el directorio /etc. Contiene informacin que se emplea para resolver consultas de DNS. Durante la configuracin del servidor DHCP se consulta este archivo para obtener informacin acerca del dominio DNS y del servidor DNS. El archivo se ecnuentra en el directorio /etc.
dhcpsvc.conf(4)
nsswitch.conf
nsswitch.conf(4)
resolv.conf
resolv.conf(4)
dhcp.interfaz
Indica que se debe utilizar DHCP en la interfaz de red del cliente No hay pgina de comando man especfica, especificada en el nombre de archivo dhcp.interfaz. Por consulte dhcp(5) ejemplo, la existencia de un ,a denominado dhcp.qe0 indica que se debe utilizar DHCP en la interfaz qe0. El archivo dhcp. interfaz puede contener comandos que se pasan como opciones al comando ifconfig, que a su vez se utiliza para iniciar DHCP en el cliente. El archivo se encuentra en el directorio /etc de los sistemas cliente DHCP de Solaris. Contiene los parmetros de configuracin obtenidos de DHCP para la interfaz de red especificada. El cliente guarda la informacin de configuracin actual en /etc/dhcp/interfaz.dhc cuando se termina el permiso de la direccin IP actual. Por ejemplo, si se usa DHCP en la interfaz qe0, dhcpagent guarda la informacin de configuracin en /etc/dhcp/qe0.dhc. La siguiente vez que se inicia DHCP en la interfaz, el cliente solicita utilizar la informacin guardada si el permiso no ha caducado. Si el servidor DHCP deniega la solicitud, el cliente inicia el proceso estndar de negociacin de permiso DHCP. No hay pgina de comando man especfica, consulte dhcpagent(1M)
interfaz.dhc
dhcpagent
Establece valores de parmetros para el daemon de cliente dhcpagent(1M) dhcpagent. La ruta al archivo es /etc/default/dhcpagent. Para ms informacin acerca de los parmetros consulte el archivo /etc/default/dhcpagent o la pgina de comando man dhcpagent(1M).
498
Informacin de opciones DHCP
TABLA 182

Descripcin
(Continuacin)
DHCP inittab
Define diversos aspectos de cdigos de opciones DHCP, como el dhcp_inittab(4) tipo de datos, y asigna etiquetas mnemnicas. Para ms informacin acerca de la sintaxis del archivo consulte la pgina de comando man dhcp_inittab(4). En el cliente, la informacin del archivo /etc/dhcp/inittab la utiliza dhcpinfo para proporcionar informacin ms significativa a los lectores humanos de la informacin. En el sistema servidor DHCP, este archivo lo utiliza el daemon DHCP y las herramientas de gestin para obtener informacin de opciones DHCP. El archivo /etc/dhcp/inittab sustituye al archivo /etc/dhcp/dhcptags utilizado en versiones anteriores. En Informacin de opciones DHCP en la pgina 499 hallar ms informacin acerca de esta sustitucin.

Historicalmente, la informacin de opciones DHCP se ha guardado en diversos lugarres, como la tabla dhcptab del servidor, el archivo dhcptags del cliente y tablas internas de diversos programas. En la versin 8 de Solaris y posteriores, la informacin de opciones se ha consolidado en el archivo /etc/dhcp/inittab. Para informacin detallada acerca del archivo consulte la pgina de comando man dhcp_inittab(4). El cliente DHCP de Solaris utiliza el archivo inittab de DHCP para sustituir al archivo dhcptags. El cliente utiliza este archivo para obtener informacin acerca de los cdigos de opciones recibidos en un paquete DHCP. Los programas in.dhcpd, snoop y dhcpmgr del servidor DHCP utilizan tambin el archivo inittab.
Cmo determinar si su sitio se ve afectado

La mayor parte de sitios que utilizan DHCP de Solaris no se ven afectados por el cambio al archivo /etc/dhcp/inittab. Su sitio se ver afectado si cumple la totalidad de los criterios siguientes:

Tiene previsto actualizarse desde una versin de Solaris ms antigua que Solaris 8. Ha creado anteriormente nuevas opciones de DHCP. Ha modificado el archivo /etc/dhcp/dhcptags y desea conservar los cambios.
Al actualizarse, el registro de actualizacin le notifica que su archivo dhcptags e ha modificado y que deber efectuar cambios en en el archivo inittab de DHCP.
Diferencias entre los archivos dhcptags y inittab

El archivo inittab contiene ms informacin que el archivo dhcptags. Adems, inittab utiliza una sintaxis distinta. A continuacin se muestra un ejemplo de una entrada de dhcptags: 33 StaticRt - IPList Static_Routes 33 es el cdigo numrico que se pasa en el paquete DHCP. StaticRt es el nombre de la opcin. IPList indica que el tipo de datos de StaticRt debe ser una lista de direcciones IP. Static_Routes es un nombre ms descriptivo. El archivo inittab consta de registros de una lnea en los que se describe cada opcin. El formato es similar al que define los smbolos en dhcptab. En la tabla siguiente se describe la sintaxis del archivo inittab . Opcin nombre_opcin Descripcin Nombre de la opcin El nombre de la opcin debe ser nico dentro de la categora de la opcin y no superponerse con los nombres de otras opciones en las categoras Standard, Site y Vendor. Por ejemplo, no puede haber dos opciones en Site que se llamen igual, y no se debe crear una opcin de Site con el mismo nombre de una opcin de Standard. Identifica el espacio de nombres al que pertenece la opcin. Debe ser uno de los siguientes: Standard, Site, Vendor, Field o Internal. Identifica la opcin cuando se enva a la red. En la mayor parte de casos, el cdigo identifica la opcin de forma unvoca, sin necesidad de categora. Sin embargo, en el caso de las categoras internas como Field o Internal, un cdigo se puede utilizar con otra finalidad. Es posible que el cdigo no sea nico a nivel global. El cdigo debe ser nico dentro de la categora de la opcin, y no superponerse con los cdigos en los campos Standard y Site. Describe los datos asociados con esta opcin. Los tipos vlidos son IP, ASCII, Octet, Boolean, Unumber8, Unumber16, Unumber32, Unumber64, Snumber8, Snumber16, Snumber32 y Snumber64. Para nmeros, la inicial indica si el nmero tiene signo (S) o no (U). Los dgitos al final indican cuntos bits hay en el nmero. Por ejemplo, Unumber8 es un nmero sin signo de 8 bits. El tipo no distingue maysculas de minsculas. Describe cuntas unidades de datos componen un valor completo para esta opcin. Describe cuntos valores completos se permiten para esta opcin. 0 indica un nmero infinito.
categora cdigo
type
granularidad mximo
500
consumidores
Describe qu programas pueden utilizar esta informacin. Consumidores debe establecerse en sdmi, donde: s d m i snoop in.dhcpd dhcpmgr dhcpinfo
A continuacin se muestra un ejemplo de entrada de inittab: StaticRt - Standard, 33, IP, 2, 0, sdmi En esta entrada se describe una opcin denominada StaticRt. La opcin est en la categora estndar y el cdigo de opcin es el 33. Los datos previstos son probablemente una cantidad infinita de pares de direcciones porque el tipo es IP, la granularidad es 2 y el mximo es infinito (0). Los consumidores de esta opcin son sdmi: snoop, in.dhcpd, dhcpmgr y dhcpinfo.
Conversin de entradas de dhcptags en entradas de inittab

Si ha agregado anteriormente entradas en su archivo dhcptags, deber agregar las entradas correspondientes en el nuevo archivo inittab si quiere continuar usando en su sitio las opciones agregadas. En el ejemplo siguiente se muestra cmo exoresar una entrada de ejemplo de dhcptags en el formato inittab. Supongamos que se ha agregado la siguiente entrada de dhcptags para faxes conectados a la red: 128 FaxMchn - IP Fax_Machine El cdigo 128 significa que la opcin debe estar en la categora Site. El nombre de la opcin es FaxMchn, y el tipo de datos es IP. La entrada correspondiente de inittab podra ser: FaxMchn SITE, 128, IP, 1, 1, sdmi La granularidad de 1 y el mximo de 1 indican que en esta opcin se espera una sola direccin IP.
Captulo 18 Comandos y archivos DHCP (referencia)
501
502
P A R T E
I V
Seguridad IP
Esta seccin se centra en la seguridad de red. La arquitectura de seguridad IP (IPsec) protege la red en el nivel del paquete. El intercambio de claves de Internet (IKE) administra las claves para IPsec. El filtro IP de Solaris proporciona un cortafuegos.
503
504
19
C A P T U L O

1 9
Arquitectura de seguridad IP (descripcin general)
La arquitectura de seguridad IP (IPsec) ofrece proteccin criptogrfica para los datagramas IP en paquetes de redes IPv4 e IPv6. Este captulo contiene la informacin siguiente: Novedades de IPsec en la pgina 505 Introduccin a IPsec en la pgina 507 Flujo de paquetes IPsec en la pgina 509 Asociaciones de seguridad IPsec en la pgina 512 Mecanismos de proteccin de IPsec en la pgina 513 Directivas de proteccin IPsec en la pgina 517 Modos de transporte y tnel en IPsec en la pgina 517 Redes privadas virtuales e IPsec en la pgina 519 Paso a travs de IPsec y NAT en la pgina 520 IPsec y SCTP en la pgina 521 IPsec y Zonas de Solaris en la pgina 522 IPsec y dominios lgicos en la pgina 522 Archivos y utilidades IPsec en la pgina 522 Cambios en IPsec para la versin Solaris 10 en la pgina 524
Para implementar IPsec en la red, consulte el Captulo 20, Configuracin de IPsec (tareas). Para obtener informacin de referencia, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
Novedades de IPsec
Solaris 10 4/09: a partir de esta versin, la utilidad de gestin de servicios (SMF) administra IPsec como conjunto de servicios.
505
Novedades de IPsec
Por defecto, hay dos servicios de IPsec habilitados en el arranque del sistema:

svc:/network/ipsec/policy:default svc:/network/ipsec/ipsecalgs:default
Por defecto, los servicios de gestin de claves se deshabilitan en el arranque del sistema:

svc:/network/ipsec/manual-key:default svc:/network/ipsec/ike:default
Para activar directivas IPsec en SMF, siga estos pasos: 1. 2. 3. 4. Agregue entradas de directivas IPsec al archivo ipsecinit.conf. Configure la Internet Key Exchange (IKE) o configure manualmente las claves. Actualice el servicio de directivas IPsec. Habilite el servicio de administracin de teclas.
Para obtener ms informacin sobre SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5) y svcadm(1M). A partir de esta versin, los comandos ipsecconf e ipseckey presentan la opcin -c para comprobar la sintaxis de sus respectivos archivos de configuracin. Asimismo, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE. Solaris 10 8/07&: a partir de esta versin, IPsec implementa por completo los tneles en modo tnel y se modifican las utilidades que admiten tneles.
IPsec implementa los tneles en modo tnel para las redes privadas virtuales (VPN). En modo tnel, IPsec admite mltiples clientes detrs de una sola NAT. En modo tnel, IPsec es interoperable con las implementaciones de tneles de IP en IP de otros proveedores. IPsec sigue admitiendo tneles en modo transporte, de modo que es compatible con las versiones anteriores de Solaris. La sintaxis para crear un tnel se simplifica. Para administrar la directiva IPsec, se ha ampliado el comando ipsecconf. El comando ifconfig no se admite para la administracin de la directiva IPsec. A partir de esta versin, se elimina el archivo /etc/ipnodes. Utilice el archivo /etc/hosts para configurar las direcciones IPv6 de red.
Solaris 10 1/06: a partir de esta versin, IKE es totalmente compatible con NAT-Traversal, como se describe en RFC 3947 y RFC 3948. Las operaciones IKE usan la biblioteca PKCS #11 de la estructura criptogrfica, lo cual mejora el rendimiento. La estructura criptogrfica proporciona un almacn de claves softtoken para las aplicaciones que utilizan la metarranura. Cuando IKE utilice la metarranura, podr guardar las claves en el disco, en una placa conectada o en el almacn de claves softtoken.
Para utilizar el almacn de claves softtoken, consulte la pgina del comando man cryptoadm(1M).
506
Introduccin a IPsec
Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10.
Introduccin a IPsec
IPsec protege los paquetes IP autenticndolos, cifrndolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del mdulo IP, debajo de la capa de aplicacin. Por tanto, una aplicacin de Internet puede aprovechar IPsec aunque no est configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el trfico de la red. La proteccin IPsec implica cinco componentes principales:
Protocolos de seguridad: Mecanismo de proteccin de datagramas IP. El encabezado de autenticacin (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no est cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor tambin tiene la garanta de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisin de paquetes. ESP tambin puede garantizar la integridad de los datos mediante una opcin de algoritmo de autenticacin. Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una direccin de destino IP y un nmero de ndice. El nmero de ndice se denomina ndice de parmetros de seguridad. Estos tres elementos (el protocolo de seguridad, la direccin de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legtimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor tambin utiliza informacin de la base de datos para descifrar la comunicacin, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final. Administracin de claves: La generacin y distribucin de claves para los algoritmos criptogrficos y SPI. Mecanismos de seguridad: Los algoritmos de autenticacin y cifrado que protegen los datos de los datagramas IP. Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de proteccin que se aplica a un paquete. SPD filtra el trfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de proteccin que se aplicar. Para los paquetes entrantes, SPD permite determinar si el nivel de proteccin del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la direccin de destino IP. El receptor utiliza la informacin de SADB para comprobar que los paquetes que llegan sean legtimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket tambin.
Captulo 19 Arquitectura de seguridad IP (descripcin general) 507
Introduccin a IPsec
Los sockets tienen un comportamiento distinto segn el puerto:

Los SA por socket modifican su entrada de puerto correspondiente en SPD. Adems, si el socket de un puerto est conectado y posteriormente se aplica la directiva IPsec a ese puerto, el trfico que utiliza ese socket no est protegido mediante IPsec. Naturalmente, un socket abierto en un puerto despus de la aplicacin de la directiva IPsec en el puerto est protegido con IPsec.
RFC IPsec
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrar un vnculo a las RFC en la pgina http://ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:

RFC 2411, "IP Security Document Roadmap", noviembre de 1998. RFC 2401, "Security Architecture for the Internet Protocol", noviembre de 1998. RFC 2402, "IP Authentication Header", noviembre de 1998. RFC 2406, "IP Encapsulating Security Payload (ESP)", noviembre de 1998. RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", noviembre de 1998. RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998 RFC 2409, "The Internet Key Exchange (IKE)", noviembre de 1998. RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", julio de 2003 [sin implementar en la versin Solaris 10]
Terminologa de IPsec
Las RFC IPsec definen una serie de trminos tiles para determinar cundo debe implementar IPsec en los sistemas. La tabla siguiente enumera los trminos de IPsec, proporciona sus acrnimos habituales y aporta una definicin. Para ver una lista de la terminologa que se utiliza en la negociacin de claves, consulte la Tabla 221.
508
Flujo de paquetes IPsec
TABLA 191
Trminos, acrnimos y usos de IPsec

Acrnimo Definicin
Trmino de IPsec
Asociacin de seguridad
SA
Conexin exclusiva entre dos nodos de una red. La conexin se define mediante tres elementos: un protocolo de seguridad, un ndice de parmetros de seguridad y un destino IP. El destino IP puede ser una direccin IP o un socket. Base de datos que contiene todas las asociaciones de seguridad activas.
Base de datos de asociaciones de seguridad
SADB
ndice de parmetros SPI de seguridad base de datos de directivas de seguridad Intercambio de claves Protocolo Diffie-Hellman Protocolo RSA DH SPD
El valor de ndice para una asociacin de seguridad. Un SPI es un valor de 32 bits que distingue entre las SA que tienen el mismo destino IP y protocolo de seguridad. Base de datos que determina si los paquetes salientes y entrantes tienen el nivel de proteccin especificado. El proceso de generacin de claves para los algoritmos criptogrficos asimtricos. Los dos mtodos principales son los protocolos RSA y el protocolo Diffie-Hellman. Protocolo de intercambio de claves que implica la generacin y la autenticacin de claves. A menudo se denomina intercambio de claves autenticadas. Protocolo de intercambio de claves que implica la generacin y la distribucin de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. Estructura habitual para establecer el formato de los atributos SA, as como para negociar, modificar y eliminar SA. ISAKMP es el estndar IETF para administrar SA IPsec.
RSA
Protocolo de administracin de claves y asociaciones de seguridad de Internet
ISAKMP

La Figura 191 muestra cmo se comporta un paquete de direcciones IP, como parte de un datagrama IP, cuando se invoca IPsec en un paquete saliente. El diagrama de flujo muestra dnde se pueden aplicar en el paquete las entidades encabezado de autenticacin (AH) y Carga de seguridad encapsuladora (ESP). En las secciones siguientes se describe cmo aplicar estas entidades, as como el modo de seleccionar los algoritmos. La Figura 192 muestra el proceso entrante de IPsec.
Captulo 19 Arquitectura de seguridad IP (descripcin general)
509
TCP, UDP, otros
Origen (aplicacin)
IP Decisin de encaminamiento IP
Seleccin de direcciones IP de origen
Se necesita ESP? No
Proteger paquete con ESP
Se necesita AH? No
Proteger paquete con AH
Modo de tnel ESP encapsulado (poco frecuente) No Transmitir a destino Dispositivo de tneles Interfaz de tnel: Encapsular datagrama IP, luego volver a procesar mediante IP
FIGURA 191
Duplicar encabezado IP, luego proteger paquete interior con ESP
hme0, cualquier dispositivo normal Interfaz fsica Destino
IPsec aplicado al proceso de paquetes salientes
510
Paquete entrante
IP Es el siguiente encabezado AH? No Es el siguiente encabezado ESP? No Determinar destinatario del datagrama (TCP, UDP, otros) Soltar paquete Procesar ESP, y si el pro- Correcto cesamiento es correcto, marcar datagrama como protegido con ESP. S Procesar AH, y si el pro- Correcto cesamiento es correcto, marcar datagrama como protegido con AH. Incorrecto
Incorrecto
Estaba este paquete suficientemente protegido?
No
Se trata de un paquete ICMP? No
Procesamiento ICMP
TCP, UDP, controlador de tneles, otros

FIGURA 192
IPsec aplicado al proceso de paquetes entrantes
511
Asociaciones de seguridad IPsec
Asociaciones de seguridad IPsec

Una asociacin de seguridad (SA) IPsec especifica las propiedades de seguridad que se reconocen mediante hosts comunicados. Una nica SA protege los datos en una direccin. La proteccin es para un solo host o para una direccin de grupo (multidifusin). Dado que la mayora de la comunicacin es de igual a igual o de cliente-servidor, debe haber dos SA para proteger el trfico en ambas direcciones. Los tres elementos siguientes identifican una SA IPsec de modo exclusivo:

El protocolo de seguridad (AH o ESP) La direccin IP de destino El ndice de parmetros de seguridad
El SPI, un valor arbitrario de 32 bits, se transmite con un paquete AH o ESP. Las pginas del comando man ipsecah(7P) y ipsecesp(7P) explican la proteccin que ofrecen AH y ESP. Se utiliza un valor de suma de comprobacin de integridad para autenticar un paquete. Si la autenticacin falla, se deja el paquete. Las asociaciones de seguridad se almacenan en una base de datos de asociaciones de seguridad (SADB). Un motor de administracin basado en sockets, la interfaz PF_KEY, permite a las aplicaciones privilegiadas administrar la base de datos. Por ejemplo, la aplicacin IKE y el comando ipseckeys usan la interfaz de socket PF_KEY.
Para obtener una descripcin completa de SADB IPsec, consulte Base de datos de asociaciones de seguridad para IPsec en la pgina 591. Para obtener ms informacin sobre cmo administrar SADB, consulte la pgina del comando man pf_key(7P).
Administracin de claves en IPsec

Las asociaciones de seguridad (SA) requieren materiales para la autenticacin y para el cifrado. La administracin de este material de claves se denomina administracin de claves. El protocolo de intercambio de claves de Internet (IKE) gestiona automticamente la administracin de claves. Tambin puede administrar las claves manualmente con el comando ipseckey. Las SA de los paquetes IPv4 e IPv6 pueden utilizar cualquier mtodo para administrar las claves. A menos que tenga una razn de peso para utilizar la administracin de claves manual, se recomienda la administracin automtica. Por ejemplo, para interoperar con sistemas que no sean Solaris es posible que precise la administracin de claves manual.
512
Mecanismos de proteccin de IPsec
En la versin actual, SMF proporciona el siguiente servicio de administracin de claves para IPsec:
svc:/network/ipsec/ike:default service es el servicio SMF para la administracin automtica de claves. El servicio ike ejecuta el daemon in.iked para proporcionar administracin automtica de claves. Para ver una descripcin de IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener ms informacin sobre el daemon in.iked, consulte la pgina de comando man in.iked(1M) Para obtener informacin sobre el servicio ike, consulte Utilidad de gestin de servicios de IKE en la pgina 653. svc:/network/ipsec/manual-key:default service es el servicio SMF para la administracin manual de claves. El servicio de manual-key ejecuta el comando ipseckey con varias opciones para administrar claves manualmente. Para ver una descripcin del comando ipseckey, consulte Utilidades para la generacin de claves en IPsec en la pgina 591. Para obtener ms informacin sobre las opciones del comando ipseckey, consulte la pgina de comando man ipseckey(1M).
En las versiones anteriores a Solaris 10 4/09 los comandos en.iked e ipseckey administran material de claves.
El daemon in.iked proporciona administracin de claves automtica. Para ver una descripcin de IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener ms informacin sobre el daemon in.iked, consulte la pgina de comando man in.iked(1M). El comando ipseckey proporciona administracin de claves manual. Para ver una descripcin del comando, consulte Utilidades para la generacin de claves en IPsec en la pgina 591. Para obtener ms informacin sobre las opciones del comando ipseckey, consulte la pgina de comando man ipseckey(1M).

IPsec proporciona dos protocolos de seguridad para proteger los datos:

Encabezado de autenticacin (AH) Carga de seguridad encapsuladora (ESP)
Un AH protege los datos con un algoritmo de autenticacin. Una ESP protege los datos con un algoritmo de cifrado. De modo opcional, una ESP protege los datos con un algoritmo de autenticacin. Cada implementacin de un algoritmo se denomina mecanismo.
513
Encabezado de autenticacin
El encabezado de autenticacin proporciona autenticacin de datos, una integridad slida y proteccin de repeticin para los datagramas IP. AH protege la mayor parte del datagrama IP. Como muestra la ilustracin siguiente, AH se inserta entre el encabezado IP y el encabezado de transporte.
IP Hdr
AH
TCP Hdr
El encabezado de transporte puede ser TCP, UDP, SCTP o ICMP. Si se utiliza un tnel, el encabezado de transporte puede ser otro encabezado de IP.
Carga de seguridad encapsuladora

El mdulo Encapsulating Security Payload (ESP) ofrece confidencialidad para los elementos que encapsula ESP. ESP tambin proporciona los servicios que proporciona AH. Sin embargo, ESP slo proporciona sus protecciones de la parte del datagrama que encapsula ESP. ESP proporciona servicios de autenticacin opcional para asegurar la integridad de los paquetes protegidos. Debido a que ESP utiliza tecnologa de habilitacin de cifrado, un sistema que proporcione ESP puede estar sujeto a leyes de control de importacin y exportacin. ESP encapsula sus datos, de modo que ESP slo protege los datos que siguen a su inicio en el datagrama, como se muestra en la ilustracin siguiente.
IP Hdr
ESP
TCP Hdr
Cifrado
En un paquete TCP, ESP encapsula nicamente el encabezado TCP y sus datos. Si el paquete se encuentra en un datagrama de IP en IP, ESP protege el datagrama IP interior. La directiva por socket permite la autoencapsulacin, de modo que ESP puede encapsular las opciones de IP cuando lo necesita. Si est activada la autoencapsulacin, se realiza una copia del encabezado IP para construir un datagrama de IP en IP. Por ejemplo, cuando la autoencapsulacin no est activada en un socket TCP, el datagrama se enva con el siguiente formato:
[ IP(a -> b) options + TCP + data ]
Cuando la autoencapsulacin est activa en ese socket TCP, el datagrama se enva con el siguiente formato:
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
Para ms informacin, consulte Modos de transporte y tnel en IPsec en la pgina 517.
Consideraciones de seguridad para el uso de AH y ESP

La tabla siguiente compara las protecciones que proporcionan AH y ESP.
TABLA 192 Protocolo
Protecciones que proporcionan AH y ESP en IPsec

Proteccin de paquetes Proteccin Contra ataques
AH
Protege el paquete del encabezado IP al encabezado de transporte.
Proporciona integridad slida, autenticacin de datos: Garantiza que el receptor recibe exactamente lo que ha enviado el remitente. Es susceptible a los ataques de repeticin cuando AH no activa la proteccin contra repeticiones.
Repeticin, cortar y pegar
ESP.
Protege el paquete que sigue a ESP en el datagrama.
Con la opcin de cifrado, cifra el datagrama IP. Garantiza la confidencialidad. Con la opcin de autenticacin, proporciona la misma proteccin que AH. Con ambas opciones, proporciona integridad slida, autenticacin de datos y confidencialidad.
Intercepcin de comunicaciones Repeticin, cortar y pegar Repeticin, cortar y pegar e intercepcin de comunicaciones.
Algoritmos de autenticacin y cifrado en IPsec

Los protocolos de seguridad IPsec utilizan dos tipos de algoritmos: de autenticacin y de cifrado. El mdulo AH utiliza algoritmos de autenticacin. El mdulo ESP puede utilizar tanto algoritmos de cifrado como de autenticacin. Puede obtener una lista de los algoritmos de su sistema y sus propiedades con el comando ipsecalgs. Para mas informacin, consulte la pgina del comando man ipsecalgs(1M) Tambin puede utilizar las funciones que se describen en la pgina del comando man getipsecalgbyname(3NSL) para recuperar las propiedades de los algoritmos. IPsec en un sistema Solaris utiliza la estructura criptogrfica de Solaris para acceder a los algoritmos. La estructura proporciona un depsito central para los algoritmos, adems de otros servicios. La estructura permite a IPsec aprovechar los aceleradores de hardware criptogrficos de alto rendimiento. La estructura tambin proporciona funciones de control de recursos. Por ejemplo, la estructura permite limitar la cantidad de tiempo de CPU que se dedica a las operaciones criptogrficas en el ncleo.
Para obtener ms informacin, consulte las siguientes direcciones:
Captulo 13, Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services Captulo 8, Introduction to the Solaris Cryptographic Framework de Solaris Security for Developers Guide
Algoritmos de autenticacin en IPsec

Los algoritmos de autenticacin producen un valor de suma de comprobacin de integridad o sntesis que se basa en los datos y una clave. El mdulo AH utiliza algoritmos de autenticacin. El mdulo ESP tambin puede utilizar algoritmos de autenticacin.
Algoritmos de cifrado en IPsec

Los algoritmos de cifrado cifran los datos con una clave. El mdulo ESP de IPsec utiliza algoritmos de cifrado. Los algoritmos operan en los datos en unidades del tamao de un bloque. Diferentes versiones del sistema operativo Solaris 10 proporcionan algoritmos de cifrado predeterminados distintos.
Precaucin A partir de la versin Solaris 10 8/07, no aada Solaris Encryption Kit al sistema. El
kit reduce el nivel de parche para cifrado del sistema.
A partir de la versin Solaris 10 8/07, el contenido de Solaris Encryption Kit se instala mediante el disco de instalacin de Solaris. En esta versin se aaden los algoritmos de autenticacin SHA2: sha256, sha384 y sha512. Las implementaciones SHA2 cumplen la especificacin RFC 4868. Esta versin tambin agrega grupos Diffie-Hellman ms grandes: 2048 bits (grupo 14), 3072 bits (grupo 15) y 4096 bits (grupo 16). Tenga en cuenta que los sistemas de Sun con tecnologa CoolThreads slo aceleran los grupos de 2048 bits. Antes de la versin Solaris 10 8/07, el disco de instalacin de Solaris proporciona algoritmos bsicos, adems puede aadir algoritmos ms complejos desde Solaris Encryption Kit. De modo predeterminado, estn instalados los algoritmos DES-CBC, 3DES-CBC, AES-CBC, y Blowfish-CBC. Los tamaos de claves que admiten los algoritmos AES-CBC y Blowfish-CBC estn limitados a 128 bits. Los algoritmos AES-CBC y Blowfish-CBC que admiten tamaos de claves de ms de 128 bits estn disponibles para IPsec cuando se instala el Solaris Encryption Kit. Sin embargo, no todos los algoritmos de cifrado estn disponibles fuera de Estados Unidos. El kit est disponible en un CD independiente que no forma parte del paquete de instalacin de Solaris 10. En la Solaris 10 Encryption Kit Installation Guide se describe cmo instalar el kit. Para ms informacin, consulte la pgina web Sun Downloads web site (http://www.sun.com/ download). Para descargar el kit, haga clic en la ficha Downloads A-Z y, a continuacin, haga clic en la letra S. Encontrar Solaris 10 Encryption Kit entre las 20 primeras entradas.
516
Modos de transporte y tnel en IPsec
Directivas de proteccin IPsec

Las directivas de proteccin IPsec pueden utilizar cualquiera de los mecanismos de seguridad. Las directivas IPsec se pueden aplicar en los niveles siguientes:

En el sistema Por socket
IPsec aplica la directiva en todo el sistema a los datagramas entrantes y salientes. Los datagramas salientes se envan con o sin proteccin. Si se aplica proteccin, los algoritmos son especficos o no especficos. Puede aplicar algunas reglas adicionales a los datagramas salientes, dados los datos adicionales que conoce el sistema. Los datagramas entrantes pueden aceptarse o dejarse. La decisin de dejar o aceptar un datagrama entrante se basa en varios criterios, que en ocasiones se pueden superponer o entrar en conflicto. Los conflictos se resuelven determinando qu regla que analiza primero. El trfico se acepta automticamente, excepto cuando una entrada de directiva indica que el trfico debe omitir las dems directivas. La directiva que normalmente protege un datagrama se puede omitir. Puede especificar una excepcin en la directiva del sistema, o solicitar una omisin en la directiva por socket. Para el trfico de un sistema, se aplican las directivas, pero no se aplican los mecanismos de seguridad reales. En lugar de ello, la directiva saliente de un paquete dentro del sistema se convierte en un paquete entrante al que se han aplicado esos mecanismos. El archivo ipsecinit.conf y el comando ipsecconf permiten configurar directivas IPsec. Para ver detalles y ejemplos, consulte la pgina del comando man ipsecconf(1M).

Los estndares IPsec definen dos modos distintos de funcionamiento de IPsec, el modo transporte y el modo tnel. Dichos modos no afectan a la codificacin de paquetes. Los paquetes estn protegidos por AH, ESP, o ambos en cada modo. Los modos aplican la directiva de un modo distinto cuando el paquete interior es un paquete IP, como en el caso siguiente:
En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior. En modo tnel, el paquete IP interior determina la directiva IPsec que protege su contenido.
En modo transporte, pueden utilizarse el encabezado exterior, el encabezado siguiente y los puertos que admita el siguiente encabezado para determinar la directiva IPsec. En efecto, IPsec puede aplicar diferentes directivas de modo de transporte entre dos direcciones IP hasta la granularidad de un nico puerto. Por ejemplo, si el siguiente encabezado es TCP, que admite puertos, la directiva IPsec se puede configurar para un puerto TCP de la direccin IP exterior. De modo similar, si el siguiente encabezado es un encabezado IP, se pueden utilizar el encabezado exterior y el encabezado IP interior para determinar la directiva IPsec.
El modo tnel slo funciona para los datagramas de IP en IP. El uso de tneles en modo tnel puede ser til cuando los usuarios se conecten desde casa a un equipo central. En modo tnel, la directiva IPsec se aplica en el contenido del datagrama IP interior. Se pueden aplicar diferentes directivas IPsec para distintas direcciones IP interiores. Es decir, el encabezado IP interior, su encabezado siguiente y los puertos que admite el siguiente encabezado pueden aplicar una directiva. A diferencia del modo transporte, en el modo tnel el encabezado IP exterior no dicta la directiva de su datagrama IP interior. Por tanto, en modo tnel, la directiva IPsec se puede especificar para las subredes de una LAN detrs de un encaminador y para puertos de dichas subredes. La directiva IPsec tambin se puede especificar para una direccin IP concreta, es decir, hosts de esas subredes. Los puertos de dichos hosts tambin pueden tener una directiva IPsec especfica. Sin embargo, si se ejecuta un protocolo de encaminamiento dinmico por un tnel, no utilice la seleccin de subredes o la seccin de direcciones, porque la vista de la topologa de red en la red equivalente podra cambiar. Los cambios invalidaran la directiva IPsec esttica. Para ver algunos ejemplos de procedimientos de tnel que incluyen la configuracin de rutas estticas, consulte Proteccin de una VPN con IPsec en la pgina 549. En SO Solaris, el modo tnel puede aplicarse slo en una interfaz de red de tneles IP. El comando ipsecconf proporciona una palabra clave tunnel para seleccionar una interfaz de red de tneles IP. Cuando la palabra clave tunnel est presente en una regla, todos los selectores especficos de dicha regla se aplican al paquete interior. En modo transporte, ESP, AH, o ambos, pueden proteger el datagrama. La figura siguiente muestra un encabezado IP con un paquete TCP sin proteger.
IP Hdr
FIGURA 193
TCP Hdr
Paquete IP sin proteger con informacin TCP
En modo transporte, ESP protege los datos tal como se muestra en la figura siguiente. El rea sombreada muestra la parte cifrada del paquete.
IP Hdr
ESP
TCP Hdr
Cifrado
FIGURA 194
Paquete IP protegido con informacin TCP
En modo transporte, AH protege los datos como se muestra en la figura siguiente.

Redes privadas virtuales e IPsec
IP Hdr
FIGURA 195
AH
TCP Hdr
Paquete protegido por encabezado de autenticacin
AH cifra los datos antes de que aparezcan en el datagrama. En consecuencia, la proteccin que proporciona AH, incluso en el modo transporte, cifra parte del encabezado IP. En modo tnel, todo el datagrama est dentro de la proteccin de un encabezado IPsec. El datagrama de la Figura 193 est protegido en modo tnel por otro encabezado IPsec exterior, en este caso ESP, tal como se muestra en la figura siguiente.
IP Hdr
ESP
IP Hdr
TCP Hdr
Cifrado
FIGURA 196
Paquete IPsec protegido en modo tnel
El comando ipsecconf incluye palabras clave para configurar tneles en modo tnel o en modo transporte.
Para obtener detalles sobre la directiva por socket, consulte la pgina del comando man ipsec(7P). Si desea ver un ejemplo de la directiva por socket, consulte Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet en la pgina 533. Para ms informacin acerca de los tneles, consulte la pgina del comando man ipsecconf(1M). Para ver un ejemplo de configuracin de tnel, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
Redes privadas virtuales e IPsec

Un tnel configurado es una interfaz de punto a punto. El tnel permite la encapsulacin de un paquete IP dentro de otro paquete IP. Un tnel configurado correctamente requiere tanto un origen como un destino. Para obtener ms informacin, consulte la pgina de comando man tun(7M) y Configuracin de tneles para compatibilidad con IPv6. Un tnel crea una interfaz fsica aparente para IP. La integridad del vnculo fsico depende de los protocolos de seguridad subyacentes. Si configura las asociaciones de seguridad (SA) de un modo seguro, puede confiar en el tnel. Los paquetes que salen del tnel deben haberse
Paso a travs de IPsec y NAT
originado en su equivalente especificado en el destino del tnel. Si existe esa confianza, puede utilizar el reenvo de IP por interfaz para crear una red privada virtual (VPN). Puede utilizar IPsec para construir una VPN. IPsec protege la conexin. Por ejemplo, una organizacin que utiliza tecnologa VPN para conectar oficinas con redes separadas puede implementar IPsec para proteger el trfico entre las dos oficinas. La figura siguiente ilustra cmo las dos oficinas utilizan Internet para formar su VPN con IPsec implementado en sus sistemas de red.
VPN Intranet Red 1 Sistema 1 hme1 hme0 Encaminador Internet Encaminador Intranet Red 2 Sistema 2 hme0 hme1
FIGURA 197
Red privada virtual
Para ver un ejemplo detallado del procedimiento de configuracin, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. Para las redes IPv6, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 564.
Paso a travs de IPsec y NAT

IKE puede negociar las SA IPsec a travs de un cuadro NAT Esta funcin permite a los sistemas conectarse de forma segura desde una red remota, incluso cuando los sistemas estn detrs de un dispositivo NAT. Por ejemplo, los empleados que trabajan desde casa, o que se registran desde un sitio de conferencia pueden proteger su trfico con IPsec. NAT significa traduccin de direcciones de red. Un cuadro NAT se utiliza para traducir una direccin interna privada en una direccin de Internet exclusiva. Las NAT son muy comunes en los puntos de acceso pblicos a Internet, como los hoteles. Para obtener ms informacin, consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670.
520
IPsec y SCTP
La posibilidad de utilizar IKE cuando un cuadro NAT se encuentra entre sistemas que se comunican, se denomina NAT traversal, o NAT-T. En la versin the Solaris 10, tiene las limitaciones siguientes:

NAT-T funciona slo en redes IPv4. NAT-T no puede aprovechar la aceleracin ESP IPsec que proporciona la placa de Sun Crypto Accelerator 4000. Sin embargo, la aceleracin IKE con la placa Sun Crypto Accelerator 4000 funciona. El protocolo AH depende de un encabezado de IP inalterable; por lo tanto, AH no funciona con NAT-T. El protocolo ESP se utiliza con NAT-T. El cuadro NAT no utiliza reglas de procesamiento especiales. Un cuadro NAT con reglas de procesamiento IPsec especiales podra interferir con la implementacin de NAT-T. NAT-T slo funciona cuando el iniciador IKE es el sistema que hay detrs del cuadro NAT. Un contestador IKE no puede estar detrs de un cuadro NAT a menos que el cuadro se haya programado para reenviar paquetes IKE al sistema individual adecuado detrs del cuadro.
En losa siguientes documentos RFC se describen las funciones de NAT y los lmites de NAT-T. Puede obtener copias de los RFC en http://www.rfc-editor.org.

RFC 3022, "Traditional IP Network Address Translator (Traditional NAT)", enero de 2001. RFC 3715, "IPsec-Network Address Translation (NAT) Compatibility Requirements", marzo de 2004. RFC 3947, "Negotiation of NAT-Traversal in the IKE", enero de 2005. RFC 3948, "UDP Encapsulation of IPsec Packets", enero de 2005.
Para utilizar IPsec en una NAT, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638.
IPsec y SCTP
El SO Solaris admite el protocolo SCTP (Streams Control Transmission Protocol). Se admite el uso del protocolo SCTP y el nmero de puerto SCTP para especificar la directiva IPsec, pero no es fiable. Las extensiones IPsec para SCTP tal como se especifican en la RFC 3554 todava no estn implementadas. Estas limitaciones pueden generar complicaciones a la hora de crear la directiva IPsec para SCTP. SCTP puede utilizar varias direcciones de origen y destino en el contexto de una sola asociacin SCTP. Cuando la directiva IPsec se aplica a una nica direccin de origen o una nica direccin de destino, la comunicacin puede fallar cuando SCTP cambie la direccin de origen o de destino de dicha asociacin. La directiva IPsec slo reconoce la direccin original. Para obtener informacin sobre SCTP, consulte las RFC y el Protocolo SCTP en la pgina 42.
IPsec y Zonas de Solaris
IPsec y Zonas de Solaris

IPsec se configura desde la zona global para las zonas IP compartidas. El archivo de configuracin de la directiva IPsec, ipsecinit.conf, se encuentra nicamente en la zona global. El archivo puede tener entradas que se apliquen a zonas no globales, as como entradas que se apliquen a la zona global. Para zonas de IP exclusiva, IPsec est configurado en la zona no global. Para obtener informacin sobre cmo utilizar IPsec con zonas, consulte Proteccin del trfico con IPsec en la pgina 528. Para obtener informacin sobre las zonas, consulte el Captulo 16, Introduccin a Solaris Zones de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris.
IPsec y dominios lgicos

IPsec funciona con dominios lgicos (LDoms). El LDom debe ejecutar una versin del SO Solaris que incluya IPsec, como, por ejemplo, Solaris 10. Para obtener ms informacin acerca de cmo configurar LDoms, consulte Logical Domains 1.2 Administration Guide.
Archivos y utilidades IPsec

La Tabla 193 describe los archivos, comandos e identificadores de servicios que se utilizan para configurar y administrar IPsec. Para mayor informacin, la tabla incluye comandos y archivos de administracin de claves. A partir de Solaris 10 4/09, SMF administra IPsec. Para obtener ms informacin sobre identificadores de servicios, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration.
Si desea obtener instrucciones sobre la implementacin de IPsec en la red, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527. Para mas informacin sobre los archivos y las utilidades IPsec, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
522
Archivos y utilidades IPsec
TABLA 193
Lista de archivos y utilidades IPsec seleccionados

Utilidad IPsec, archivo o servicio
svc:/network/ipsec/ipsecalgs
En la versin actual, el servicio SMF que administra los algoritmos IPsec. En la versin actual, el servicio SMF que gestiona asociaciones de seguridad manuales (SA). En la versin actual, el servicio SMF que gestiona la directiva IPsec. En la versin actual, el servicio SMF para la gestin automtica de IPsec SA. archivo de directiva IPsec En las versiones anteriores a Solaris 10 4/09, si el archivo existe, IPsec se activar en el momento del arranque. En la versin actual, el servicio SMF policy utiliza este archivo para configurar la directiva de IPsec durante el arranque del sistema.
smf(5), ipsecalgs(1M) smf(5), ipseckey(1M) smf(5), ipsecconf(1M) smf(5), in.iked(1M) ipsecconf(1M)
svc:/network/ipsec/manual-key
svc:/network/ipsec/policy
svc: /network/ipsec/ike Archivo /etc/inet/ipsecinit.conf
Comando ipsecconf
Comando de directiva IPsec. Es til para visualizar y modificar la ipsecconf(1M) directiva IPsec actual, as como para realizar pruebas. En las versiones anteriores a Solaris 10 4/09 las secuencias de comandos de arranque utilizan ipsecconf para leer el archivo /etc/inet/ipsecinit.conf y activar IPsec. En la versin actual, ipsecconf lo utiliza el servicio SMF polcy para configurar la directiva IPsec en el arranque del sistema.
Interfaz de socket PF_KEY Comando ipseckey
Interfaz para la base de datos de asociaciones de seguridad (SADB). Controla la administracin de claves manual y automtica.
pf_key(7P)
Comando de material de claves de asociaciones de seguridad (SA) ipseckey(1M) de IPsec. ipseckey es un componente frontal de lnea de comandos para la interfaz PF_KEY. ipseckey puede crear, destruir o modificar SA. Claves para SA de IPsec. En las versiones anteriores a Solaris 10 4/09 si existe el archivo ipsecinit.conf, el archivo ipseckeys se lee automticamente en el momento del arranque. En la versin actual, el servicio SMF manual-key utiliza ipseckeys para configurar manualmente las asociaciones de seguridad (SA) durante el arranque del sistema.
Archivo /etc/inet/secret/ipseckeys
Comando ipsecalgs
Comando de algoritmos IPsec. Es til para visualizar y modificar la lista de algoritmos IPsec y sus propiedades. En la versin actual, se utiliza por parte del servicio SMF ipsecalgs para sincronizar algoritmos IPsec conocidos con el ncleo en el arranque del sistema.
ipsecalgs(1M)
523
Cambios en IPsec para la versin Solaris 10
TABLA 193
Lista de archivos y utilidades IPsec seleccionados

Descripcin
(Continuacin)
Utilidad IPsec, archivo o servicio
Archivo /etc/inet/ipsecalgs
Contiene los protocolos IPsec configurados y las definiciones de algoritmos. Este archivo lo administra el comando ipsecalgs y nunca se debe editar manualmente. archivo de configuracin y directiva de IKE Por defecto, este archivo no existe. En las versiones anteriores a Solaris 10 4/09, si el archivo existe, el daemon IKE (in.iked) proporciona gestin automtica de claves. La administracin se basa en reglas y parmetros globales del archivo /etc/inet/ike/config. Consulte Archivos y utilidades IKE en la pgina 602. En la versin actual, si el archivo existe, el servicio svc:/network/ipsec/ike inicia el daemon IKE, in.iked, para proporcionar gestin automtica de claves. ike.config(4)
Archivo /etc/inet/ike/config

Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10. A partir de la versin Solaris 9, IPsec incluye las siguientes funciones:
Cuando se conecta una placa Sun Crypto Accelerator 4000, sta coloca en cach automticamente las SA IPsec para los paquetes que utilizan la interfaz Ethernet de la placa. La placa tambin acelera el procesamiento de las SA IPsec. IPsec puede aprovechar la administracin de claves automtica con IKE a travs de redes IPv6. Para ms informacin, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para conocer las novedades IKE, consulte Cambios de IKE en Solaris 10 en la pgina 604. Encontrar ms ayuda en el analizador del comando ipseckey. El comando ipseckey monitor incluye indicaciones de fecha y hora en cada evento. Para obtener ms informacin, consulte la pgina del comando man ipseckey(1M). Los algoritmos IPsec ahora provienen de una ubicacin de almacenamiento central, la estructura criptogrfica de Solaris. La pgina del comando man ipsecalgs(1M) describe las caractersticas de los algoritmos que hay disponibles. Los algoritmos estn optimizados para la arquitectura en la que se ejecutan. Para obtener una descripcin de la estructura, consulte el Captulo 13, Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services. IPsec funciona en la zona global. La directiva IPsec se administra en la zona global para una zona no global. El material de claves se crea y administra manualmente en la zona global para una zona no global. IKE no se puede utilizar para generar claves para una zona no
524
global. Para obtener informacin sobre las zonas, consulte el Captulo 16, Introduccin a Solaris Zones de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris.
La directiva IPsec puede funcionar con el protocolo SCTP (Streams Control Transmission Protocol) y el nmero de puerto SCTP. Sin embargo, la implementacin no est completa. Las extensiones IPsec para SCTP que se especifican en la RFC 3554 todava no estn implementadas. Estas limitaciones pueden ocasionar complicaciones a la hora de crear la directiva IPsec para SCTP. Para obtener ms informacin, consulte las RFC. Asimismo, lea IPsec y SCTP en la pgina 521 y Protocolo SCTP en la pgina 42. IPsec e IKE pueden proteger el trfico que se origina detrs de un cuadro NAT. Para obtener ms detalles e informacin sobre las limitaciones, consulte Paso a travs de IPsec y NAT en la pgina 520. Para ver los procedimientos, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638.
525
526
C A P T U L O
Configuracin de IPsec (tareas)
20
2 0
Este captulo incluye los procedimientos para implementar IPsec en la red. Los procedimientos se describen en los siguientes mapas de tareas:

Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527 Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 551
Para obtener informacin general sobre IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general). Para obtener informacin de referencia sobre IPsec, consulte el Captulo 21, Arquitectura de seguridad IP (referencia).
Proteccin del trfico con IPsec (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos que configuran IPsec entre uno o ms sistemas. Las pginas del comando man ipsecconf(1M), ipseckey(1M) y ifconfig(1M) tambin describen procedimientos tiles en sus secciones de ejemplos correspondientes.
Proteger el trfico entre dos sistemas. Proteger un servidor Web con la directiva IPsec.
Protege los paquetes de un sistema a otro. Requiere el uso de IPsec por parte del trfico que no sea de red. Los clientes Web se identifican mediante puertos especficos, que omiten las comprobaciones de IPsec.
Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529 Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet en la pgina 533 Cmo visualizar las directivas de IPsec en la pgina 537
Visualizar las directivas de IPsec. Muestra las directivas de IPsec que se estn aplicando, en el orden en que se aplican.
527
Proteccin del trfico con IPsec
Tarea
Descripcin
Generar nmeros aleatorios.
Genera nmeros aleatorios para el material de claves Cmo generar nmeros aleatorios en un para las asociaciones de seguridad creadas sistema Solaris en la pgina 537 manualmente. How to Generate a Symmetric Key by Using the pktool Command de System Administration Guide: Security Services Proporciona los datos bsicos para las asociaciones de seguridad: Nombre de algoritmo IPsec y material de claves Clave para el ndice de parmetros de seguridad Direcciones IP de origen y destino Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539
Crear o reemplazar asociaciones de seguridad manualmente.
Comprobar que IPsec est protegiendo los paquetes. (Opcional) Crear un rol de seguridad de red. Administrar IPsec y materiales clave como un conjunto de servicios SMF. Configurar una red privada virtual protegida (VPN).
Examina el resultado del comando snoop para los Cmo verificar que los paquetes estn encabezados especficos que indica cmo se protegen protegidos con IPsec en la pgina 544 los datagramas IP. Crea un rol que puede configurar una red segura, pero que puede desempear menos funciones que un superusuario. Describe cmo y cundo utilizar los comandos que habilitan, inhabilitan, actualizan y reinician los servicios. Tambin describe los comandos que cambian los valores de propiedad de los servicios. Configura IPsec entre dos sistemas separados por Internet. Cmo configurar una funcin para la seguridad de la red en la pgina 545 Cmo administrar servicios de IPsec e IKE en la pgina 547
Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 551

En esta seccin se describen los procedimientos que permiten proteger un servidor Web y el trfico entre dos sistemas. Para proteger una VPN, consulte Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 551. Existen procedimientos adicionales que proporcionan los materiales de claves y las asociaciones de seguridad, y adems verifican que IPsec est funcionando de acuerdo con la configuracin establecida.
528
La informacin siguiente se aplica a todas las tareas de configuracin de IPsec:
IPsec y zonas: Para administrar la directiva IPsec y las claves para una zona no global IP compartida, cree el archivo de directiva IPsec en la zona global y ejecute los comandos de configuracin de IPsec desde la zona global. Utilice la direccin de origen que corresponda a la zona no global que se est configurando. Tambin puede configurar la directiva IPsec y las claves en la zona global para la zona global. Para una zona de IP exclusiva, debe configurar directiva IPsec en la zona no global. A partir de la versin Solaris 10 8/07, puede utilizar IKE para administrar claves en una zona no global. IPsec y RBAC Para utilizar los roles para administrar IPsec, consulte el Captulo 9, Using Role-Based Access Control (Tasks) de System Administration Guide: Security Services. Si desea ver un ejemplo, consulte Cmo configurar una funcin para la seguridad de la red en la pgina 545. IPsec y SCTP IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaucin. Para obtener ms informacin, consulte IPsec y SCTP en la pgina 521.
Cmo proteger el trfico entre dos sistemas con IPsec

Este procedimiento presupone la siguiente configuracin:

Los dos sistemas se denominan enigma y partym. Cada sistema tiene dos direcciones, una direccin IPv4 y otra IPv6. Cada sistema requiere ESP cifrado con el algoritmo AES, que, a su vez, requiere una clave de 128 bits y autenticacin ESP con el resumen de mensajes de SHA1, que, a su vez, requiere una clave de 160 bits. Cada sistema utiliza asociaciones de seguridad compartidas. Con las asociaciones de seguridad (SA) compartidas, slo se necesita un par de SA para proteger los dos sistemas.
Antes de empezar 1
Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Captulo 20 Configuracin de IPsec (tareas)
529
Nota El registro remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura. Esto se ilustra en el Ejemplo 201.
2
En cada sistema, agregue entradas de host. En la versin actual, agregue las entradas de host al archivo /etc/inet/hosts. En un sistema que se ejecute en una versin anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo. Para obtener informacin sobre los archivos de configuracin del sistema, consulte Archivos de configuracin TCP/IP en la pgina 249 y el Captulo 11, IPv6 en profundidad (referencia). Si est conectando sistemas slo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versin anterior de Solaris y utilizan direcciones IPv6. a. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts o ipnodes:
# Secure communication with partym 192.168.13.213 partym 2001::eeee:3333:3333 partym
b. En un sistema denominado partym, escriba lo siguiente en el archivo hosts o ipnodes:

# Secure communication with enigma 192.168.116.16 enigma 2001::aaaa:6666:6666 enigma
El uso de los servicios de asignacin de nombres simblicos no es seguro.

3
En cada sistema, cree el archivo de directiva IPsec. El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample. Agregue una entrada de directiva IPsec al archivo ipsecinit.conf. a. En el sistema enigma, agregue la directiva siguiente:
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
b. En el sistema partym, agregue una directiva idntica:

{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Para ver la sintaxis de las entradas de la directiva IPsec, consulte la pgina del comando man ipsecconf(1M).
En cada sistema, agregue un par de SA IPsec entre los dos sistemas. Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automticamente. Tambin puede agregar las SA de forma manual.
Nota Debe utilizar IKE a menos que tenga una razn de peso para generar y mantener las claves manualmente. La administracin de claves IKE es ms segura que la administracin manual.
Configure IKE siguiendo uno de los mtodos de configuracin de Configuracin de IKE (mapa de tareas) en la pgina 605. Para ver la sintaxis del archivo de configuracin de IKE, consulte la pgina del comando man ike.config(4). Para agregar las SA manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
Habilite la directiva IPsec.
Si est ejecutando una versin anterior a Solaris 10 4/09, rearranque el sistema.

# init 6
A continuacin, vaya a Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 544.
A partir de la versin Solaris 10 4/09, actualice el servicio IPsec y habilite el servicio de administracin de claves. Complete del Paso 7 al Paso 10.
Compruebe la sintaxis del archivo de directiva IPsec.

# ipsecconf -c -f /etc/inet/ipsecinit.conf
Subsane los posibles errores, compruebe la sintaxis del archivo y contine.

8
Actualice la directiva IPsec.

# svcadm refresh svc:/network/ipsec/policy:default
La directiva IPsec est habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la directiva IPsec, habiltela.
# svcadm enable svc:/network/ipsec/policy:default
531
Active las claves para IPsec.
Si ha configurado IKE en el Paso 5, realice una de las acciones siguientes:
Si el servicio ike no est habilitado, habiltelo.

# svcadm enable svc:/network/ipsec/ike:default
Si el servicio ike est habilitado, reincielo.

# svcadm restart svc:/network/ipsec/ike:default
Si ha configurado manualmente las claves en el Paso 5, realice una de las acciones siguientes:
Si el servicio manual-key no est habilitado, habiltelo.

# svcadm enable svc:/network/ipsec/manual-key:default
Si el servicio manual-key est habilitado, actualcelo.

# svcadm refresh svc:/network/ipsec/manual-key:default
10
Compruebe que los paquetes se estn protegiendo. Para ver el procedimiento, consulte Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 544.
Ejemplo 201
Adicin de directivas IPsec al utilizar una conexin ssh

En este ejemplo, el administrador configura como superusuario las claves y la directiva IPsec en dos sistemas mediante el comando ssh para llegar al segundo sistema. Para obtener ms informacin, consulte la pgina de comando man ssh(1).
En primer lugar, el administrador realiza del Paso 2 al Paso 5 del procedimiento anterior para configurar el primer sistema. A continuacin, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesin en el segundo sistema.
local-system # ssh other-system other-system #
En la ventana de terminal de la sesin ssh, el administrador configura la directiva IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 6. A continuacin, el administrador termina la sesin ssh.
other-system # exit local-system #
532
Por ltimo, el administrador realiza el Paso 6 para habilitar la directiva IPsec en el primer sistema.
La prxima ocasin que los dos sistemas se comunican, incluida la conexin ssh, la comunicacin queda protegida por IPsec.
Ejemplo 202
Cmo proteger el trfico con IPsec sin rearrancar

El siguiente ejemplo es til cuando se est ejecutando una versin anterior a Solaris 10 4/09. Es decir, en su versin, IPsec no se gestiona como un servicio. El ejemplo describe cmo implementar IPsec en un entorno de prueba. En un entorno de produccin, es ms seguro rearrancar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo. En lugar de rearrancar en el Paso 6, elija una de estas opciones:
Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.
# pkill in.iked # /usr/lib/inet/in.iked
Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.
# ipseckey -c -f /etc/inet/secret/ipseckeys
A continuacin, active la directiva IPsec con el comando ipsecconf.

# ipsecconf -a /etc/inet/ipsecinit.conf
Consideraciones de seguridad: Lea la advertencia que aparece al ejecutar el comando ipsecconf. Un socket que ya est bloqueado, es decir, un socket que ya est en uso, constituye una puerta trasera no segura al sistema. Si desea ms informacin al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 590.
Cmo utilizar IPsec para proteger un servidor web del trfico que no procede de Internet
Un servidor Web seguro permite a los clientes Web comunicarse con el servicio Web. En un servidor Web seguro, el trfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del trfico de red. Adems, este servidor Web puede realizar solicitudes de clientes DNS no seguras. El resto del trfico requiere ESP con los algoritmos AES y SHA-1.
Captulo 20 Configuracin de IPsec (tareas) 533
Antes de empezar
Debe encontrarse en la zona global para poder configurar la directiva IPsec. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. Ha completado Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529 para que se apliquen las condiciones siguientes:

Que la comunicacin entre los dos sistemas est protegida por IPsec. Que se est generando material de claves, ya sea de forma manual o mediante IKE. Que haya comprobado que los paquetes se estn protegiendo.
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
Determine qu servicios deben omitir las comprobaciones de directiva de seguridad. En el caso de un servidor Web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor Web proporciona consultas de nombres DNS, el servidor tambin podra incluir el puerto 53 tanto para TCP como para UDP. Cree una directiva IPsec para el servidor web y habiltela.
A partir de la versin Solaris 10 4/09, siga del Paso 4 al Paso 7. Si est ejecutando una versin anterior a Solaris 10 4/09 , siga del Paso 8 al Paso 11.
El Paso 12 es opcional en todas las versiones de Solaris.

4
Agregue la directiva de servidor web al archivo de directiva IPsec. Agregue las lneas siguientes al archivo /etc/inet/ipsecinit.conf:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port
534
{} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Esta configuracin slo permite que el trfico seguro acceda al sistema, con las excepciones de omisin que se describen en el Paso 4.
5
Compruebe la sintaxis del archivo de directiva IPsec.

Actualice la directiva IPsec.

Actualice las claves para IPsec.
Si ha configurado IKE en el Paso 5 de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529, reinicie el servicio ike.
# svcadm restart svc:/network/ipsec/ike
Si ha configurado manualmente las claves en el Paso 5 de Cmo proteger el trfico entre dos sistemas con IPsecen la pgina 529, actualice el servicio manual-key.
# svcadm refresh svc:/network/ipsec/manual-key:default
La configuracin se ha completado. Si lo desea, puede llevar a cabo el Paso 12.

8
Cree un archivo en el directorio /etc/inet para la directiva del servidor Web.

Nota Los siguientes pasos configuran un servidor web que est ejecutando una versin anterior a Solaris 10 4/09.
Asigne al archivo un nombre que indique su finalidad, por ejemplo IPsecWebInitFile. Escriba las siguientes lneas en el archivo:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Esta configuracin slo permite que el trfico seguro acceda al sistema, con las excepciones de omisin que se describen en el Paso 4.
Copie el contenido del archivo que haya creado en el Paso 8 en el archivo /etc/inet/ipsecinit.conf. Proteja el archivo IPsecWebInitFile con permisos de slo lectura.
# chmod 400 IPsecWebInitFile
10
11
Proteja el servidor Web sin rearrancar. Elija una de las siguientes opciones:
Si est utilizando IKE para la administracin de claves, detenga el daemon in.iked y reincielo.
Si est administrando las claves manualmente, utilice los comandos ipseckey e ipsecconf. Utilice IPsecWebInitFile como argumento para el comando ipsecconf. Si utiliza el archivo ipsecinit.conf como argumento, el comando ipsecconf genera errores cuando las directivas del archivo ya estn implementadas en el sistema.
# ipseckey -c -f /etc/inet/secret/ipseckeys # ipsecconf -a /etc/inet/IPsecWebInitFile
Precaucin Lea la advertencia cuando ejecute el comando ipsecconf. Un socket que ya est
bloqueado, es decir, un socket que ya est en uso, constituye una puerta trasera no segura al sistema. Si desea ms informacin al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 590. La misma advertencia aparece al reiniciar el daemon in.iked. Tambin puede rearrancar. Al rearrancar se asegura de que la directiva IPsec est aplicada en todas las conexiones TCP. Al rearrancar, las conexiones TCP utilizan la directivadel archivo de directiva IPsec.
12
(Opcional) Active un sistema remoto para comunicarse con el servidor Web para trfico que no sea de red. Escriba la siguiente directiva en el archivo ipsecinit.conf de un sistema remoto:
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Un sistema remoto puede comunicarse de forma segura con el servidor Web para trfico que no sea de red slo cuando las directivas IPsec de los directivas coinciden.
536
Cmo visualizar las directivas de IPsec

Puede ver las directivas configuradas en el sistema ejecutando el comando ipsecconf sin argumentos.
Antes de empezar 1
Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global. Asuma un rol que incluya el perfil de administracin IPsec de la red o convirtase en superusuario. Si est ejecutando una versin anterior a Solaris 10 4/09, el perfil de Network IPsec Management no est disponible. Utilice el perfil de la seguridad de la red. Para crear un rol que incluya un perfil de seguridad de red y asignarlo a un usuario, consulte Cmo configurar una funcin para la seguridad de la red en la pgina 545.
Visualizar las directivas de IPsec. a. Visualice las entradas de la directiva IPsec global en el orden en que se agregaron las entradas.
$ ipsecconf
El comando muestra cada entrada con un ndice, seguida de un nmero. b. Visualice las entradas de la directiva IPsec en el orden en que se produzca una coincidencia.
$ ipsecconf -l
c. Visualice las entradas de la directiva IPsec, incluidas las entradas por tnel, en el orden en que se produzca una coincidencia.
$ ipsecconf -L
Cmo generar nmeros aleatorios en un sistema Solaris

Si est especificando claves manualmente, el material de claves debe ser aleatorio. El formato del material de claves de un sistema Solaris es hexadecimal. Otros sistemas operativos pueden requerir material de claves ASCII. Para generar material de claves para un sistema Solaris que se comunica con otro sistema operativo que requiera ASCII, consulte el Ejemplo 231. Si su sitio cuenta con un generador de nmeros aleatorios, utilcelo. De lo contrario, puede utilizar el comando od con el dispositivo Solaris /dev/random como entrada. Para ms informacin, consulte la pgina del comando man od(1).
En la versin Solaris 10 4/09, tambin puede utilizar el comando pktool. La sintaxis de este comando es ms sencilla que la del comando od. Para obtener ms detalles, consulte How to Generate a Symmetric Key by Using the pktool Command de System Administration Guide: Security Services.
1
Genere nmeros aleatorios en formato hexadecimal.

% od -x|-X -A n file | head -n
-x -X -A n archivo head -n
2
Muestra el vaciado octal en formato hexadecimal. El formato hexadecimal resulta til para el material de claves. Dicho formato se imprime en bloques de 4 caracteres. Muestra el vaciado octal en formato hexadecimal. Dicho formato se imprime en bloques de 8 caracteres. Elimina la base de desfase de entrada de la pantalla. Acta como origen para los nmeros aleatorios. Limita el resultado de la pantalla a las primeras n lneas.
Combine el resultado para crear una clave con la longitud adecuada. Elimine los espacios entre los nmeros de una lnea para crear una clave de 32 caracteres. Una clave de 32 caracteres tiene 128 bits. En el caso de un ndice de parmetros de seguridad (SPI), debe utilizar una clave de 8 caracteres. La clave debe utilizar el prefijo 0x.
Ejemplo 203
Generacin de material de claves para IPsec

El ejemplo siguiente muestra dos lneas de claves en grupos de ocho caracteres hexadecimales cada uno.
% od -X -A n /dev/random | head -2 d54d1536 4a3e0352 0faf93bd 24fd6cad 8ecc2670 f3447465 20db0b0c c83f5a4b
Al combinar los cuatro nmeros de la primera lnea, puede crear una clave de 32 caracteres. Un nmero de 8 caracteres precedido de 0x proporciona un valor de SPI adecuado, por ejemplo, 0xf3447465. El ejemplo siguiente muestra dos lneas de claves en grupos de cuatro caracteres hexadecimales cada uno.
% od -x -A n /dev/random | head -2 34ce 56b2 8b1b 3677 9231 42e9 80b0 c673 2f74 2817 8026 df68 12f4 905a db3d ef27
Al combinar los ocho nmeros en la primera lnea, puede crear una clave de 32 caracteres.
538
Cmo crear manualmente asociaciones de seguridad IPsec

El procedimiento siguiente proporciona el material de claves para el procedimiento, Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. Est generando teclas para dos sistemas, partym y enigma. Se generan las claves en un sistema, y despus se utilizan las teclas del primer sistema en ambos sistemas.
Antes de empezar 1
Debe estar en la zona global para administrar material de claves para una zona IP compartida. Genere el material de claves para la SA. Necesita tres nmeros aleatorios hexadecimales para el trfico saliente y tres para el trfico entrante. Por tanto, un sistema necesita generar los siguientes nmeros:
Dos nmeros aleatorios hexadecimales como valor para la palabra clave spi. Un nmero es para el trfico saliente. Otro es para el trfico entrante. Cada nmero puede tener hasta ocho caracteres de longitud. Dos nmeros aleatorios hexadecimales para el algoritmo SHA-1 para la autenticacin. Para una clave de 160 bits, cada numero debe tener 40 caracteres de longitud. Un nmero es para dst enigma. Un nmero es para dst partym. Dos nmeros aleatorios hexadecimales para el algoritmo DES para el cifrado de ESP. Para una clave de 256 bits, cada numero debe tener 64 caracteres de longitud. Un nmero es para dst enigma. Un nmero es para dst partym.
Si dispone de un generador de nmeros aleatorios en su sitio, utilcelo. Tambin puede utilizar el comando od. Consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537 para ver el procedimiento.
2
En la consola del sistema de uno de los sistemas, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
539
Cree las SA.
A partir de la versin Solaris 10 4/09, siga del Paso 8 al Paso 10. Si est ejecutando una versin anterior a Solaris 10 4/09, siga del Paso 4 al Paso 9.
Active el modo de comando ipseckey.

# ipseckey >
El smbolo del sistema > indica que se encuentra en modo de comando ipseckey.
5
Si est sustituyendo las SA existentes, vacelas.

> flush >
Para evitar que un intruso interrumpa las SA, debe sustituir el material de claves.
Nota Es necesario coordinar la sustitucin de claves en los sistemas que se comunican. Al
sustituir las SA en un sistema, tambin deben sustituirse las del sistema remoto.
6
Para crear SA, escriba el comando siguiente.

> add protocol spi random-hex-string \ src addr dst addr2 \ protocol-prefix_alg protocol-algorithm \ protocol-prefixkey random-hex-string-of-algorithm-specified-length
Esta sintaxis tambin se utiliza para sustituir las SA que acaba de vaciar. protocolo Especifica esp o ah. cadena_hex_aleatoria Especifica un nmero aleatorio de hasta ocho caracteres en formato hexadecimal. Preceda los caracteres con 0x. Si especifica ms nmeros de los que acepta el ndice de parmetros de seguridad (SPI), el sistema omitir los nmeros adicionales. Si especifica menos nmeros de los que acepta el SPI, el sistema rellena la entrada. dir Especifica la direccin IP de un sistema. dir2 Especifica la direccin IP del sistema equivalente a dir.
540
prefijo_protocolo Especifica un prefijo encr o auth. El prefijo encr se utiliza con el protocolo esp. El prefijo auth se utiliza con el protocolo ah, y para autenticar el protocolo esp. algoritmo_protocolo Especifica un algoritmo para ESP o AH. Cada algoritmo requiere una clave de una longitud especfica. Los algoritmos de autenticacin incluyen MD5 y SHA-1. A partir de la versin Solaris 10 4/09, SHA256 y SHA512 son compatibles. Los algoritmos de cifrado incluyen DES, 3DES, AES y Blowfish. cadena_hex_aleatoria_de_longitud_algoritmo_especificada Especifica un nmero hexadecimal aleatorio de la longitud que requiere el algoritmo. Por ejemplo, el algoritmo MD5 requiere una cadena de 32 caracteres para su clave de 128 bits. El algoritmo 3DES requiere una cadena de 48 caracteres para su clave de 192 bits. a. Por ejemplo, en el sistema enigma, proteja los paquetes salientes. Utilice los nmeros aleatorios que haya generado en el paso Paso 1. Para Solaris 10 1/06:
> add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff >
Nota El sistema equivalente debe utilizar el mismo material de claves y el mismo SPI.
b. Contine en modo de comando ipseckey en el sistema enigma y proteja los paquetes entrantes. Escriba los siguientes comandos para proteger los paquetes:
> add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 >
541
Nota Las claves y el SPI pueden ser diferentes para cada SA. Debe asignar claves y SPI distintos para cada SA. 7 8
Para salir del modo de comando ipseckey, pulse Control-D o escriba quit. Agregue, el material de claves al archivo /etc/inet/secret/. En las versiones anteriores a Solaris 10 4/09 este paso garantiza que el material de claves est disponible para IPsec al rearrancar. Las lneas del archivo /etc/inet/secret/ipseckeys son idnticas al lenguaje de la lnea de comandos ipseckey. a. Por ejemplo, el archivo /etc/inet/secret/ipseckeys del sistema enigma tendra un aspecto similar al siguiente:
# ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745
b. Proteja el archivo con permisos de slo lectura.

# chmod 400 /etc/inet/secret/ipseckeys 9
Repita el procedimiento en el sistema partym. Utilice el mismo material de claves que utiliz en enigma.
542
El material de claves de los dos sistemas debe ser idntico. Tal como se muestra en el ejemplo siguiente, slo los comentarios de ipseckeys son distintos. Los comentarios difieren porque dst enigma entra en el sistema enigma y sale del sistema partym.
# partym ipseckeys file # # for inbound packets add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for outbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 10
Habilite el servicio manual-key.

# svcadm enable svc:/network/ipsec/manual-key
Para sustituir las claves de la versin actual, consulte el Ejemplo 204.

Ejemplo 204
Sustitucin de SA de IPsec
En este ejemplo, el administrador est configurando un sistema que ejecuta la versin Solaris 10 actual. El administrador genera nuevas claves, cambia la informacin sobre claves en el archivo ipseckeys y reinicia el servicio.
En primer lugar, el administrador completa Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537 para generar las claves. A continuacin, el administrador utiliza las claves generadas en el archivo /etc/inet/secreto/. El administrador ha utilizado los mismos algoritmos. Por tanto, el administrador cambia los valores de SPI, encrkey y authkey slo:
add esp spi 0x8xzy1492 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey 0a1f3886b06ebd7d39f6f89e4c29c93f2741c6fa598a38af969907a29ab1b42a \ authkey a7230aabf513f35785da73e33b064608be41f69a #
543
# add esp spi 0x177xce34\ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey 4ef5be40bf93498017b2151d788bb37e372f091add9b11149fba42435fefe328 \ authkey 0e1875d9ff8e42ab652766a5cad49f38c9152821
Por ltimo, el administrador reinicia el servicio manual-key. El comando de reinicio borra las claves anteriores antes de agregar las nuevas.
# svcadm restart manual-key
Cmo verificar que los paquetes estn protegidos con IPsec

Para verificar que los paquetes estn protegidos, pruebe la conexin con el comando snoop. Los prefijos siguientes pueden aparecer en el resultado de snoop:
AH: Prefijo que indica que AH esta protegiendo los encabezados. El prefijo AH: aparece si se utiliza auth_alg para proteger el trfico. ESP: Prefijo que indica que se estn enviando los datos cifrados. ESP: aparece si se utiliza encr_auth_alg o encr_alg para proteger el trfico.
Antes de empezar 1
Debe ser superusuario o asumir un rol equivalente para crear el resultado snoop. Para poder probar la conexin, es preciso tener acceso a ambos sistemas. Convirtase en superusuario en un sistema, por ejemplo partym.
% su Password: # Type root password
En el sistema partym, preprese para buscar paquetes desde un sistema remoto. En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.
# snoop -v enigma Using device /dev/hme (promiscuous mode)
Enve un paquete desde el sistema remoto. En otra ventana de terminal, inicie sesin remotamente en el sistema enigma. Facilite su contrasea. A continuacin, convirtase en superusuario y enve un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.
% ssh enigma Password: % su Type your password
544
Password: Type root password # ping partym 4
Examine el resultado de snoop. En el sistema partym, debera ver el resultado que incluye la informacin de AH y ESP tras la informacin de encabezado IP inicial. Aparecer informacin de AH y ESP que muestra que se estn protegiendo los paquetes:
IP: IP: IP: IP: IP: IP: IP: AH: AH: AH: AH: AH: AH: AH: AH: AH: ESP: ESP: ESP: ESP: ESP: Time to live = 64 seconds/hops Protocol = 51 (AH) Header checksum = 4e0e Source address = 192.168.116.16, enigma Destination address = 192.168.13.213, partym No options ----- Authentication Header ----Next header = 50 (ESP) AH length = 4 (24 bytes) <Reserved field = 0x0> SPI = 0xb3a8d714 Replay = 52 ICV = c653901433ef5a7d77c76eaa ----- Encapsulating Security Payload ----SPI = 0xd4f40a61 Replay = 52 ....ENCRYPTED DATA....
ETHER: ----- Ether Header ----...
Cmo configurar una funcin para la seguridad de la red

Si est utilizando RBAC (Role-Based Access Control) para administrar los sistemas, siga este procedimiento para proporcionar una funcin de administracin de red o de seguridad de red.
Busque los perfiles de derechos de red en la base de datos prof_attr local. En la versin actual, aparece una salida similar a la siguiente:
% cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security...
Network Network Network Network
Management:::Manage the host and network configuration... Security:::Manage network and host security... Wifi Management:::Manage wifi network configuration... Wifi Security:::Manage wifi network security...
Si est ejecutando una versin anterior a Solaris 10 4/09, la salida presenta un aspecto parecido al siguiente:
% cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration Network Security:::Manage network and host security System Administrator::: Network Management
El perfil de administracin de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podr ejecutar los comandos del perfil de administracin de red.
2
Determine qu comandos hay disponibles en el perfil de derechos de administracin de red.

% grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config ... Network Management:suser:cmd:::/usr/sbin/snoop:uid=0
Los comandos de directiva solaris se ejecutan con privilegio ( privs=sys_net_config). Los comandos de directiva suser se ejecutan como superusuario (uid=0).
3
Decida el mbito de las funciones de seguridad de la red en su sitio. Utilice las definiciones de los perfiles de derechos en el Paso 1 para guiar la decisin.
Para crear una funcin que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red. En la versin actual, para crear una funcin que administre slo IPsec e IKE, utilice el perfil de derechos de gestin de red IPsec.
Cree un rol de seguridad de red que incluya el perfil de derechos de gestin de la red. Una funcin con el perfil de derechos de gestin de red IPsec o de seguridad de la red, adems del perfil de gestin de la red, puede ejecutar los comandos ifconfig, snoop, ipsecconf e ipseckey, entre otros, con privilegios adecuados. Para crear el rol, asignarlo a un usuario y registrar los cambios con el servicio de nombres, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
546
Ejemplo 205
Divisin de responsabilidades de seguridad de la red entre las funciones

En este ejemplo, el administrador divide las responsabilidades de seguridad de la red entre dos funciones. Una funcin administra wifi y seguridad de los vnculos; otra administra IPsec e IKE. Cada funcin est asignada a tres personas, una por turno. Para crear las funciones, el administrador utiliza Solaris Management Console.
El administrador asigna el nombre de LinkWifi a la primera funcin.
El administrador asigna los perfiles de derechos wifi de red, seguridad de vnculos de red y gestin de red a la funcin. A continuacin, el administrador asigna la funcin LinkWifi a los usuarios pertinentes. El administrador asigna los perfiles de derechos de gestin de red IPsec y de gestin de red a la funcin. A continuacin, el administrador asigna la funcin de administrador de IPsec a los usuarios pertinentes.
El administrador asigna el nombre de IPsec Administrator a la segunda funcin.
Cmo administrar servicios de IPsec e IKE

Los siguientes pasos ofrecen los usos ms probables de los servicios SMF para IPsec, IKE y la gestin manual de claves. Por defecto, los servicios policy e ipsecalgs estn habilitados. Tambin por defecto, los servicios ike y manual-key estn inhabilitados.
Para administrar la directiva IPsec, lleve a cabo una de las siguientes acciones:
Despus de agregar nuevas directivas al archivo ipsecinit.conf, actualice el servicio policy.

# svcadm refresh svc:/network/ipsec/policy
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuacin, actualice y reinicie el servicio policy.
# svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svcprop -p config/config_file policy /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy
Para administrar claves automticamente, realice una de las siguientes acciones:
Despus de agregar entradas al archivo /etc/inet/ike/config, habilite el servicio ike.

# svcadm enable svc:/network/ipsec/ike
547
Despus de cambiar las entradas en el archivo /etc/inet/ike/config, actualice el servicio ike.

# svcadm refresh svc:/network/ipsec/ike
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuacin, actualice el servicio y reincielo.
# svccfg -s ike setprop config/admin_privilege=modkeys # svcprop -p config/admin_privilege ike modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike
Para detener el servicio ike, inhabiltelo.

# svcadm disable svc:/network/ipsec/ike
Para administrar claves manualmente, lleve a cabo una de las siguientes acciones:
Despus de agregar entradas al archivo /etc/inet/secret/ipseckeys, habilite el servicio manual-key.

# svcadm enable svc:/network/ipsec/manual-key
Despus de cambiar el archivo ipseckeys, actualice el servicio.

# svcadm refresh manual-key
Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad; a continuacin, actualice y reinicie el servicio.
# svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svcprop -p config/config_file manual-key /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key
Para impedir la gestin manual de claves, inhabilite el servicio manual-key.

# svcadm disable svc:/network/ipsec/manual-key
Si modifica la tabla de algoritmos y los protocolos IPsec, actualice el servicio ipsecalgs.

# svcadm refresh svc:/network/ipsec/ipsecalgs
Errores ms frecuentes
Utilice el comando svcs servicio para buscar el estado de un servicio. Si el servicio est en el modo maintenance, siga las sugerencias de depuracin en la salida del comando svcs -x servicio.
548
Proteccin de una VPN con IPsec

Los tneles de IPsec pueden proteger una VPN. En la versin Solaris 10 8/07, un tnel puede estar en modo de tnel o de transporte. El modo de tnel es interoperable con la implementacin de IPsec por parte de otros proveedores. El modo de transporte es interoperable con las versiones anteriores de SO Solaris. Para ver una descripcin de los modos de tnel, consulte Modos de transporte y tnel en IPsec en la pgina 517. Los tneles en modo tnel ofrecen un control ms preciso del trfico. En modo tnel, para ver una direccin IP interna, puede especificar la proteccin concreta que desee, hasta alcanzar un nico puerto.
Para ver ejemplos de las directivas de IPsec para los tneles en modo tnel, consulte Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel en la pgina 549. Para ver los procedimientos que protegen las VPN, consulte Proteccin de una VPN con IPsec (mapa de tareas) en la pgina 551.
Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel
Tnel de IPsec
Central 10.1.2.0/24 .4 .3 .2
LAN
Internacional 10.2.3.0/24 .4 .3
192.168.1.10 .1
192.168.2.10
Internet
.2
R1
R2
.1
LAN
ip.tun0
FIGURA 201
Diagrama de tnel de IPsec
Los ejemplos siguientes presuponen que el tnel se ha configurado para todas las subredes de la LAN:
## Tunnel configuration ## ifconfig ip.tun0 10.1.2.1 10.2.3.1 tsrc 192.168.1.10 tdst 192.168.2.10
EJEMPLO 206
Creacin de un tnel que puedan utilizar todas las subredes
En este ejemplo, se puede crear un tnel de todo el trfico de las redes LAN locales de la red LAN central de la Figura 201 del encaminador 1 al 2 y, a continuacin, transferirlo a todas las redes LAN locales de la red LAN internacional. El trfico se cifra con AES.
## IPsec policy ## {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
EJEMPLO 207
Creacin de un tnel que slo conecta dos subredes
En este ejemplo, slo se crea un tnel y se cifra el trfico entre la subred 10.1.2.0/24 de la LAN central y la subred 10.2.3.0/24 de la LAN internacional. En caso de no haber otras directivas IPsec para Central, si la LAN central intenta encaminar el trfico para otras LAN por este tnel, el trfico se transferir al encaminador 1.
## IPsec policy ## {tunnel ip.tun0 negotiate tunnel laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs aes encr_auth_algs md5 sha1 shared}
EJEMPLO 208
Creacin de un tnel slo para el trfico de correo electrnico entre dos subredes
En este ejemplo, se crea un tnel slo para el trfico de correo electrnico. El trfico se transfiere de la subred 10.1.2.0/24 de la LAN central al servidor de correo electrnico de la subred 10.2.3.0/24 de la LAN internacional. El correo electrnico se cifra con Blowfish. Las directivas se aplican a los puertos de correo electrnico remoto y local. La directiva rport protege el correo electrnico que Central enva al puerto de correo electrnico remoto de Internacional. La directiva lport protege el correo electrnico que Central recibe de Internacional en el puerto local 25.
## IPsec policy for email from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp rport 25 laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} ## IPsec policy for email from Overseas to Central ## {tunnel ip.tun0 negotiate tunnel ulp tcp lport 25 laddr 10.1.2.0/24 raddr 10.2.3.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}
550
Proteccin de una VPN con IPsec (mapa de tareas)
EJEMPLO 209
Creacin de un tnel para el trfico FTP para todas las subredes
En este ejemplo, la directiva IPsec protege los puertos FTP de la Figura 201 con DES para todas las subredes de la red LAN central a todas las subredes de la red LAN internacional. Esta configuracin funciona para el modo activo de FTP.
## IPsec policy for outbound FTP from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp rport 21} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel ulp tcp lport 20} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## IPsec policy for inbound FTP from Central to Overseas ## {tunnel ip.tun0 negotiate tunnel ulp tcp lport 21} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel ulp tcp rport 20} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

El mapa de tareas siguiente indica procedimientos que configuran IPsec para la proteccin del trfico por Internet. Estos procedimientos configuran una red privada virtual (VPN) entre dos sistemas separados por Internet. Un uso comn de esta tecnologa es proteger el trfico entre los trabajadores remotos y su oficina corporativa.
Proteger el trfico de tnel Protege el trfico en modo tnel entre dos sistemas en modo tnel por IPv4. Solaris 10 8/07, dos sistemas Solaris Express o entre un sistema Solaris 10 8/07 y un sistema Solaris Express. Asimismo, protege el trfico en modo tnel entre un sistema Solaris 10 8/07 o un sistema Solaris Express y un sistema que se ejecuta en otra plataforma. Proteger el trfico de tnel Protege el trfico en modo tnel entre dos sistemas en modo tnel por IPv6. Solaris que utilizan el protocolo IPv6.
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 564
551
Tarea
Descripcin
Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas en modo de transporte Solaris 10 8/07, dos sistemas Solaris Express o entre un por IPv4. sistema Solaris 10 8/07 y un sistema Solaris Express. Adems, protege el trfico en modo transporte entre un sistema que ejecuta una versin anterior de SO Solaris y Solaris 10 8/07 o un sistema Solaris Express. Protege el trfico utilizando una sintaxis ms antigua y no admitida. Este mtodo resulta til cuando se est comunicando con un sistema que ejecuta una versin anterior de SO Solaris. Este mtodo simplifica la comparacin de los archivos de configuracin de los dos sistemas. Proteger el trfico de tnel Protege el trfico en modo transporte entre dos sistemas en modo transporte por Solaris que utilizan el protocolo IPv6. IPv6. Evitar la falsificacin de la Crea un servicio SMF para evitar que el sistema reenve IP. paquetes a travs de una VPN sin descifrarlos.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 en la pgina 570
Ejemplo 2011 Ejemplo 2016
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 en la pgina 577 Cmo evitar la falsificacin de la IP en la pgina 583
Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec
Los procedimientos que se describen a continuacin presuponen la siguiente configuracin. Para ver una representacin de la red, consulte la Figura 202.
Cada sistema utiliza un espacio de direccin IPv4. Para ver un ejemplo similar con direcciones IPv6, consulte Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6 en la pgina 564.
Cada sistema cuenta con dos interfaces. La interfaz hme0 se conecta a Internet. En este ejemplo, las direcciones IP de Internet empiezan por 192.168. La interfaz hme1 se conecta a la LAN de la compaa, es decir, a su intranet. En este ejemplo, las direcciones IP de la intranet empiezan por el nmero 10. Cada sistema requiere autenticacin ESP con el algoritmo SHA-1. El algoritmo SHA1 requiere una clave de 160 bits. Cada sistema requiere cifrado ESP con el algoritmo AES. El algoritmo AES utiliza una clave de 128 o 256 bits. Cada sistema puede conectarse a un encaminador que tenga acceso directo a Internet. Cada sistema utiliza asociaciones de seguridad compartidas.
552
LAN Intranet Calif-vpn IPsec hme1 10.1.3.3 10.1.3.3 (sin numerar, tal como lo muestran los indicadores de interfaz) 192.168.13.5 Encaminador C hme0 192.168.13.213
Internet Euro-vpn Encaminador E 192.168.116.4 hme0 192.168.116.16 IPsec
LAN Intranet
hme1 10.16.16.6
ip.tun0 10.16.16.6 (sin numerar) hme0 = Desactivar reenvo de IP hme0 = Activar reenvo de IP ip.tun0 = Activar reenvo de IP Encaminador C - /etc/defaultrouter for Calif-vpn Encaminador E - /etc/defaultrouter for Euro-vpn
FIGURA 202
VPN de ejemplo entre oficinas separadas por Internet
Como muestra la ilustracin anterior, los procedimientos de IPv4 utilizan estos parmetros de configuracin.
Parmetro Europa California
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema
enigma hme1 hme0
partym hme1 hme0
553
Parmetro
Europa
California
La direccin de intranet del sistema, tambin direccin -punto en el Paso 7
10.16.16.6
10.1.3.3
Direccin de Internet del sistema, tambin direccin tsrc en el Paso 7 192.168.116.16 Nombre del encaminador de Internet Direccin del encaminador de Internet Nombre de tnel router-E 192.168.116.4 ip.tun0
192.168.13.213 router-C 192.168.13.5 ip.tun0
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4
Este procedimiento ampla el procedimiento de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. El procedimiento de configuracin se describe en Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec en la pgina 552. Adems de conectar dos sistemas, est conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actan como portales.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas.
Antes de empezar 1
Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para un inicio de sesin remota seguro.
Controle el flujo de paquetes antes de configurar IPsec. a. Asegrese de que el reenvo de IP y el encaminamiento dinmico de IP estn desactivados.
# routeadm Configuration Option Current Current Configuration System State
554
-------------------------------------------------IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled ...
Si el reenvo de IP y el encaminamiento dinmico de IP estn activos, puede desactivarlos escribiendo:

# routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u
La desactivacin del reenvo de IP impide que los paquetes se enven de una red a otra a travs de este sistema. Para ver una descripcin del comando routeadm, consulte la pgina del comando man routeadm(1M). b. Active los hosts mltiples de destino estricto de IP.
# ndd -set /dev/ip ip_strict_dst_multihoming 1
La activacin de los hosts mltiples de destino estricto de IP garantiza que los paquetes de una de las direcciones de destino del sistema llegan a la direccin de destino correcta. Cuando est activa la funcin de hosts mltiples de destino estricto, los paquetes que alcanzan una determinada interfaz deben dirigirse a una de las direcciones IP locales de dicha interfaz. Todos los dems paquetes, incluidos los que se dirigen a otras direcciones locales del sistema, se eliminan.
Precaucin El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.
c. Desactive la mayora de los servicios de red, y posiblemente todos.

Nota Si su sistema se instal con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepcin de Solaris Secure Shell.
La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin. Elija una de las siguientes opciones:
Si ejecuta Solaris 10 11/06 o una versin posterior, ejecute el perfil SMF "limitado".
# netservices limited
De lo contrario, desactive los servicios de red de forma individual.

555
# # # # # # #
svcadm svcadm svcadm svcadm svcadm svcadm svcadm
disable disable disable disable disable disable disable
network/ftp:default network/finger:default network/login:rlogin network/nfs/server:default network/rpc/rstat:default network/smtp:sendmail network/telnet:default
d. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
# svcs | grep network online Aug_02 ... online Aug_09 3 svc:/network/loopback:default svc:/network/ssh:default
Agregue un par de SA entre los dos sistemas. Elija una de las siguientes opciones:
Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuracin de IKE (mapa de tareas) en la pgina 605 para configurar IKE para la VPN. Si tiene motivos para administrar las claves manualmente, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 2012. Para ver ejemplos adicionales, consulte Ejemplos de proteccin de una VPN con IPsec mediante el uso de tneles en modo tnel en la pgina 549. En esta directiva, la proteccin IPsec no se necesita entre sistemas de la LAN local y la direccin IP del servidor de seguridad, de modo que se agrega una instruccin bypass. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
b. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

# LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} 5
(Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

Para configurar el tnel y protegerlo con IPsec, siga los pasos descritos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga los pasos del Paso 14 al Paso 22.
Configure el tnel ip.tun0 en el archivo /etc/hostname.ip.tun0. La sintaxis del archivo es la siguiente:

system1-point system2-point tsrc system1-taddr tdst system2-taddr router up
a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up
b. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up 8
Proteja el tnel con la directiva IPsec que ha creado.

Para leer el contenido del archivo hostname.ip.tun0 en el ncleo, reinicie los servicios de red.
# svcadm restart svc:/network/initial:default
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.
192.168.116.16 router
b. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

192.168.13.213 router
El reenvo de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvo de IP tambin significa que los paquetes que abandonan esta interfaz podran haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisin deben tener activa la opcin de reenvo de IP.
Puesto que la interfaz hme1 est dentro de la intranet, el reenvo de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a travs de Internet, el reenvo de IP debe estar activo para ip.tun0. La interfaz hme0 tiene su propio reenvo de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El trmino externo hace referencia a Internet.
11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme0.
10.16.16.6 private
b. En el sistema partym, agregue el indicador private al archivo /etc/hostname.hme0.

10.1.3.3 private
Aunque hme0 tenga el reenvo de IP desactivado, la implementacin de un protocolo de encaminamiento podra seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podra seguir publicando que hme0 est disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicacin de estos datos.
12
Agregue manualmente una ruta predeterminada a travs de la interfaz hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:
# route add default 192.168.116.4
b. En el sistema partym, agregue la ruta siguiente:

Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a travs de Internet. Para encontrar su equivalente, hme0 necesita informacin sobre el encaminamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como encaminador, para el resto de Internet. Por tanto, puede utilizar un encaminador predeterminado o ejecutar el protocolo de descubrimiento de encaminador para encontrar un sistema equivalente. Para ms informacin, consulte las pginas del comando man route(1M) e in.routed(1M).
13 14
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure el tnel, ip.tun0.
558
Nota Los siguientes pasos configuran un tnel en un sistema que ejecuta una versin anterior a Solaris 10 4/09.
Utilice los comandos ifconfig para crear la interfaz de punto a punto:

# ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr
a. En el sistema enigma, escriba los comandos siguientes:

# ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213
b. En el sistema partym, escriba los comandos siguientes:

# ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16 15

# ipsecconf
16
Muestre el encaminador para el tnel.

# ifconfig ip.tun0 router up
17
Active el reenvo de IP para la interfaz hme1.

# ifconfig hme1 router
El reenvo de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvo de IP tambin significa que los paquetes que abandonan esta interfaz podran haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisin deben tener activa la opcin de reenvo de IP. Puesto que la interfaz hme1 est dentro de la intranet, el reenvo de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a travs de Internet, el reenvo de IP debe estar activo para ip.tun0. La interfaz hme0 tiene su propio reenvo de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El trmino externo hace referencia a Internet.
559
18
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

# ifconfig hme0 private
Aunque hme0 tenga el reenvo de IP desactivado, la implementacin de un protocolo de encaminamiento podra seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podra seguir publicando que hme0 est disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicacin de estos datos.
19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:

Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a travs de Internet. Para encontrar su equivalente, hme0 necesita informacin sobre el encaminamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como encaminador, para el resto de Internet. Por tanto, puede utilizar un encaminador predeterminado o ejecutar el protocolo de descubrimiento de encaminador para encontrar un sistema equivalente. Para ms informacin, consulte las pginas del comando man route(1M) e in.routed(1M).
20
Asegrese de que la VPN se inicie tras un rearranque mediante la adicin de una entrada al archivo /etc/hostname.ip.tun0 .
system1-point system2-point tsrc system1-taddr tdst system2-taddr router up


560
21
Configure los archivos de interfaz para transferir los parmetros correctos al daemon de enrutamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat enigma hostname.hme0 10.16.16.6 private # cat enigma hostname.hme1 192.168.116.16 router
b. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

# cat partym hostname.hme0 10.1.3.3 private # cat partym hostname.hme1 192.168.13.213 router 22
Ejecute un protocolo de enrutamiento.

Podra ser que antes de ejecutar el protocolo de encaminamiento fuese necesario configurarlo. Para obtener ms informacin, consulte Protocolos de encaminamiento en el sistema operativo Solaris en la pgina 269. Para conocer el procedimiento, consulte Configuracin de un encaminador IPv4 en la pgina 122.
Ejemplo 2010
Creacin de tneles temporales durante la prueba

En este ejemplo, el administrador prueba la creacin del tnel en un sistema Solaris 10 4/09. Ms tarde, el administrador utilizar el procedimiento Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 para que los tneles sean permanentes. Durante la prueba, el administrador realiza las siguientes series de pasos en los sistemas system1 y system2:
En ambos sistemas, el administrador completa los cinco primeros pasos de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. El administrador utiliza el comando ifconfig para conectar y configurar un tnel temporal.
system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 # ssh system2 Password: admin-password-on-system2
561
system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16
El administrador habilita la directiva IPsec en el tnel. La directiva se cre en el Paso 4 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default
El administrador realiza la interfaz de Internet y evita que los protocolos de enrutamiento pasen a travs de la interfaz de la intranet.
system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private
El administrador agrega manualmente enrutamiento y ejecuta el protocolo de enrutamiento mediante el Paso 12 y el Paso 22 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 en ambos sistemas.
Ejemplo 2011
Creacin de un tnel en una versin anterior de un sistema Solaris mediante la lnea de comandos
En la versin Solaris 10 8/07, la sintaxis del comando ifconfig se ha simplificado. En este ejemplo, el administrador prueba la creacin del tnel en un sistema que est ejecutando una versin de Solaris anterior a Solaris 10 8/07. Mediante la sintaxis original del comando ifconfig, el administrador puede utilizar comandos idnticos en los dos sistemas comunicantes. Ms tarde, el administrador utilizar Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 para hacer que los tneles sean permanentes. Durante la prueba, el administrador realiza los pasos siguientes en los sistemas system1 y system2:
En ambos sistemas, el administrador completa los cinco primeros pasos de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. El administrador conecta y configura el tnel.
system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 system1 # ifconfig ip.tun0 router up # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb
562
system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16 \ encr_algs aes encr_auth_algs sha1 system2 # ifconfig ip.tun0 router up
El administrador habilita la directiva IPsec en el tnel. La directiva se cre en el Paso 4 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default
El administrador convierte la interfaz de Internet en un enrutador y evita que los protocolos de enrutamiento pasen a travs de la interfaz de la intranet.
system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private
El administrador agrega enrutamiento mediante la realizacin del Paso 12 y el Paso 22 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554 en ambos sistemas.
Ejemplo 2012
Requisito de directiva IPsec en todos los sistemas de una LAN

En este ejemplo, el administrador comenta la directiva bypass que se ha configurado en el Paso 4, con lo cual se refuerza la seguridad. Con esta configuracin de directiva, cada sistema de la LAN debe activar IPsec para comunicarse con el encaminador.
# LAN traffic must implement IPsec. # {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1}
Ejemplo 2013
Uso de IPsec para proteger el trfico Telnet de un modo distinto del trfico SMTP
En este ejemplo, la primera regla protege al trfico telnet del puerto 23 con Blowfish y SHA1. La segunda regla protege al trfico SMTP del puerto 25 con AES y MD5.
{laddr 10.1.3.3 ulp tcp dport 23 dir both} ipsec {encr_algs blowfish encr_auth_algs sha1 sa unique} {laddr 10.1.3.3 ulp tcp dport 25 dir both} ipsec {encr_algs aes encr_auth_algs md5 sa unique}
563
Ejemplo 2014
Uso de un tnel IPsec en modo tnel para proteger una subred de un modo distinto del resto del trfico de red
La siguiente configuracin de tnel protege todo el trfico de la subred 10.1.3.0/24 a travs del tnel:
{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Las siguientes configuraciones de tnel protegen el trfico de la subred 10.1.3.0/24 a distintas subredes a travs del tnel. Las subredes que empiezan por 10.2.x.x atraviesan el tnel.
{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.1.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.2.0/24} ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared} {tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.3.0/24} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv6
Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
Este procedimiento utiliza los siguientes parmetros.

Parmetro Europa California
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema
enigma hme1 hme0
partym hme1 hme0
564
Parmetro
Europa
California
Direccin de intranet del sistema Direccin de Internet del sistema Nombre del encaminador de Internet Direccin del encaminador de Internet Nombre de tnel
6000:6666::aaaa:1116 2001::aaaa:6666:6666 router-E 2001::aaaa:0:4 ip6.tun0
6000:3333::eeee:1113 2001::eeee:3333:3333 router-C 2001::eeee:0:1 ip6.tun0
Controle el flujo de paquetes antes de configurar IPsec. Para ver los efectos de estos comandos, consulte el Paso 2 de Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554. a. Asegrese de que el reenvo de IP y el encaminamiento dinmico de IP estn desactivados.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------... IPv6 forwarding disabled disabled IPv6 routing disabled disabled

# routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u
b. Active los hosts mltiples de destino estricto de IP.

# ndd -set /dev/ip ip6_strict_dst_multihoming 1
565
Precaucin El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.

La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin. Elija una de las siguientes opciones:

# # # # # # # svcadm svcadm svcadm svcadm svcadm svcadm svcadm disable disable disable disable disable disable disable network/ftp:default network/finger:default network/login:rlogin network/nfs/server:default network/rpc/rstat:default network/smtp:sendmail network/telnet:default
566
Agregue una directiva IPsec para la VPN. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} 5

Para configurar el tnel y protegerlo con IPsec, siga los pasos en funcin de la versin de Solaris:
A partir de la versin Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuacin, ejecute el protocolo de enrutamiento en Paso 22. Si est ejecutando una versin anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.
Configure el tnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
b. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:

6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

Para leer el contenido del archivo hostname.ip6.tun0 en el ncleo, reinicie los servicios de red.
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.
2001::aaaa:6666:6666 inet6 router
b. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

2001::eeee:3333:3333 inet6 router 11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.
6000:6666::aaaa:1116 inet6 private
b. En el sistema partym, agregue el indicador private al archivo /etc/hostname6.hme0.

6000:3333::eeee:1113 inet6 private 12
Agregue manualmente una ruta predeterminada a travs de hme0. a. En el sistema enigma, agregue la ruta siguiente:
# route add -inet6 default 2001::aaaa:0:4

# route add -inet6 default 2001::eeee:0:1 13 14
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure un tnel seguro, ip6.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que est ejecutando una versin
anterior a Solaris 10 4/09. a. En el sistema enigma, escriba los comandos siguientes:

# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 15

# ipsecconf
16

# ifconfig ip6.tun0 router up
17
En cada sistema, active el reenvo de IP para la interfaz hme1.

18

19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:

# route add -inet6 default 2001::eeee:0:1 20
Asegrese de que la VPN se inicie tras un reinicio, mediante la adicin de una entrada al archivo /etc/hostname6.ip6.tun0. La entrada replica los parmetros que se hayan transferido al comando ifconfig en el Paso 14. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
b. En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up
569
21
En cada sistema, configure los archivos de interfaz para transferir los parmetros correctos al daemon de encaminamiento. a. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.
# cat enigma hostname6.hme0 6000:6666::aaaa:1116 inet6 private # cat enigma hostname6.hme1 2001::aaaa:6666:6666 inet6 router

# cat partym hostname6.hme0 6000:3333::eeee:1113 inet6 private # cat partym hostname6.hme1 2001::eeee:3333:3333 inet6 router 22

Podra ser que antes de ejecutar el protocolo de encaminamiento fuese necesario configurarlo. Para obtener ms informacin, consulte Protocolos de encaminamiento en el sistema operativo Solaris en la pgina 269. Para obtener un procedimiento, consulte Configuracin de un encaminador IPv6 en la pgina 187.
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4
Este procedimiento ampla el procedimiento de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. Adems de conectar dos sistemas, est conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actan como portales. En este procedimiento se utiliza la configuracin descrita en Descripcin de la topologa de red para la proteccin de una VPN por parte de las tareas de IPsec en la pgina 552. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
570
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled ...

# routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

# ndd -set /dev/ip ip_strict_dst_multihoming 1
Precaucin El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.

La desactivacin de los servicios de red evita que los paquetes IP daen el sistema. Por ejemplo, podran aprovecharse un daemon SNMP, una conexin telnet o una conexin rlogin.
Elija una de las siguientes opciones:

# # # # # # # svcadm svcadm svcadm svcadm svcadm svcadm svcadm disable disable disable disable disable disable disable network/ftp:default network/finger:default network/login:rlogin network/nfs/server:default network/rpc/rstat:default network/smtp:sendmail network/telnet:default
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 2015. a. Por ejemplo, en el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
572

# LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} 5

Configure el tnel, ip.tun0, en el archivo /etc/hostname.ip.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up 8

Para leer el contenido del archivo hostname.ip.tun0 en el ncleo, reinicie los servicios de red.
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.
192.168.116.16 router
b. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

192.168.13.213 router
573
11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme0.
10.16.16.6 private
b. En el sistema partym, agregue el indicador private al archivo /etc/hostname.hme0.

10.1.3.3 private 12

# route add default 192.168.13.5 13 14
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure el tnel, ip.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que ejecuta una versin anterior a Solaris 10 4/09.
Utilice los comandos ifconfig para crear la interfaz de punto a punto:

# ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr
a. En el sistema enigma, escriba los comandos siguientes:


15

# ipsecconf
16

# ifconfig ip.tun0 router up
17

18

19
Agregue manualmente una ruta predeterminada a travs de hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet.
# route add default router-on-hme0-subnet
a. En el sistema enigma, agregue la ruta siguiente:


# route add default 192.168.13.5 20
Asegrese de que la VPN se inicie tras un rearranque mediante la adicin de una entrada al archivo /etc/hostname.ip.tun0 .
system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up

10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 router up

10.1.3.3 10.16.16.6 tsrc 192.168.13.213 \ tdst 192.168.116.16 router up
575
21
# cat enigma hostname.hme0 10.16.16.6 private # cat enigma hostname.hme1 192.168.116.16 router

# cat partym hostname.hme0 10.1.3.3 private # cat partym hostname.hme1 192.168.13.213 router 22

Ejemplo 2015
Requisito de directiva IPsec en todos los sistemas en modo transporte

En este ejemplo, el administrador comenta la directiva bypass configurada en el Paso 4, con lo cual se refuerza la seguridad. Con esta configuracin de directiva, cada sistema de la LAN debe activar IPsec para comunicarse con el encaminador.
# LAN traffic must implement IPsec. # {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}
Ejemplo 2016
Uso de sintaxis no admitida para configurar un tnel IPsec en modo transporte

En este ejemplo, el administrador conecta un sistema Solaris 10 8/07 con un sistema con la versin Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuracin e incluye los algoritmos IPsec en el comando ifconfig. El administrador sigue el procedimiento Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv4 en la pgina 570 con los siguientes cambios en la sintaxis.
Para el Paso 4, la sintaxis del archivo ipsecinit.conf es la siguiente:
576
# LAN traffic to and from this address can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}
Para el proceso del Paso 14 al Paso 16, la sintaxis para configurar un tnel seguro es la siguiente:
# ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al rearrancar, cada sistema lee el archivo ipsecinit.conf para su directiva.
Para el Paso 20, la sintaxis del archivo hostname.ip.tun0 es la siguiente:

10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 encr_algs aes encr_auth_algs sha1 router up
Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6
Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripcin completa de los motivos para ejecutar comandos especficos, consulte los pasos correspondientes en Cmo proteger una VPN con un tnel IPsec en modo tnel mediante IPv4 en la pgina 554.
Este procedimiento utiliza los siguientes parmetros.

Parmetro
Europa
California
Nombre del sistema Interfaz de la intranet del sistema Interfaz de Internet del sistema Direccin de intranet del sistema Direccin de Internet del sistema Nombre del encaminador de Internet Direccin del encaminador de Internet Nombre de tnel
enigma hme1 hme0 6000:6666::aaaa:1116 2001::aaaa:6666:6666 router-E 2001::aaaa:0:4 ip6.tun0
partym hme1 hme0 6000:3333::eeee:1113 2001::eeee:3333:3333 router-C 2001::eeee:0:1 ip6.tun0
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------... IPv6 forwarding disabled disabled IPv6 routing disabled disabled

# routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

# ndd -set /dev/ip ip6_strict_dst_multihoming 1
Precaucin El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se arranca el sistema. Para hacer que el valor cambiado sea persistente, consulte Cmo evitar la falsificacin de la IP en la pgina 583.
c. Compruebe que la mayora de los servicios de red estn inhabilitados. Compruebe que los montajes de realimentacin y el servicio ssh se estn ejecutando.
Agregue la directiva IPsec. Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. a. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

Configure el tnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
b. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:

6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up 8

Para leer el contenido del archivo hostname.ip6.tun0 en el ncleo, reinicie los servicios de red.
10
Active el reenvo de IP para la interfaz hme1. a. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.
2001::aaaa:6666:6666 inet6 router
b. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

2001::eeee:3333:3333 inet6 router 11
Asegrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet. a. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.
6000:6666::aaaa:1116 inet6 private
b. En el sistema partym, agregue el indicador private al archivo /etc/hostname6.hme0.

6000:3333::eeee:1113 inet6 private
580
12

# route add -inet6 default 2001::eeee:0:1 13 14
Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento. Configure un tnel seguro, ip6.tun0.
Nota Los siguientes pasos configuran un tnel en un sistema que est ejecutando una versin
anterior a Solaris 10 4/09. a. En el sistema enigma, escriba los comandos siguientes:

# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 15

# ipsecconf
16

# ifconfig ip6.tun0 router up
17

18

581
19
En cada sistema, agregue manualmente una ruta predeterminada mediante hme0. La ruta predeterminada debe ser un encaminador con acceso directo a Internet. a. En el sistema enigma, agregue la ruta siguiente:

# route add -inet6 default 2001::eeee:0:1 20
En cada sistema, asegrese de que la VPN se inicie tras un rearranque agregando una entrada al archivo /etc/hostname6.ip6.tun0 . La entrada replica los parmetros que se hayan transferido al comando ifconfig en el Paso 14. a. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
b. En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up 21
# cat enigma hostname6.hme0 6000:6666::aaaa:1116 inet6 private # cat enigma hostname6.hme1 2001::aaaa:6666:6666 inet6 router

# cat partym hostname6.hme0 6000:3333::eeee:1113 inet6 private # cat partym hostname6.hme1 2001::eeee:3333:3333 inet6 router 22

582
Ejemplo 2017
Uso de sintaxis descartada para configurar IPsec en modo de transporte mediante IPv6
En este ejemplo, el administrador conecta un sistema Solaris 10 8/07 con un sistema con la versin Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuracin e incluye los algoritmos IPsec en el comando ifconfig. El administrador sigue el procedimiento Cmo proteger una VPN con un tnel IPsec en modo transporte mediante IPv6 en la pgina 577 con los siguientes cambios en la sintaxis.
Para el Paso 4, la sintaxis del archivo ipsecinit.conf es la siguiente:

# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}
Para el proceso del Paso 14 al Paso 17, la sintaxis para configurar un tnel seguro es la siguiente:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up
La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al rearrancar, cada sistema lee el archivo ipsecinit.conf para su directiva.
Para el Paso 20, la sintaxis del archivo hostname6.ip6.tun0 es la siguiente:

6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 router up
Cmo evitar la falsificacin de la IP

Para evitar que el sistema reenve paquetes a otra interfaz sin intentar descifrarlos, el sistema debe comprobar que no haya falsificacin de IP. Un mtodo de prevencin es definir el
parmetro de inicio mltiple de destino estricto de IP mediante el uso del comando ndd. Cuando este parmetro se define en un manifiesto SMF, el parmetro se establece cuando el sistema se reinicia.
Nota Lleve a cabo los pasos de este procedimiento en ambos sistemas. 1
En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree el manifiesto SMF especfico para el sitio con el fin de comprobar que no haya falsificacin de IP. Use el siguiente ejemplo de secuencia de comandos, /var/svc/manifest/site/spoof_check.xml .
<?xml version="1.0"?> <!DOCTYPE service_bundle SYSTEM "/usr/share/lib/xml/dtd/service_bundle.dtd.1"> <service_bundle type=manifest name=Custom:ip_spoof_checking> <!-This is a custom smf(5) manifest for this system. Place this file in /var/svc/manifest/site, the directory for local system customizations. The exec method uses an unstable interface to provide a degree of protection against IP spoofing attacks when this system is acting as a router. IP spoof protection can also be achieved by using ipfilter(5). If ipfilter is configured, this service can be disabled. Note: Unstable interfaces might be removed in later releases. See attributes(5). --> <service name=site/ip_spoofcheck type=service version=1> <create_default_instance enabled=false /> <single_instance />  timeout_seconds=60 /> <exec_method type=method name=stop exec=:true timeout_seconds=3 /> <property_group name=startd type=framework> <propval name=duration type=astring value=transient /> </property_group> <stability value=Unstable /> </service> </service_bundle> 3
Importe este manifiesto al depsito SMF.

# svccfg import /var/svc/manifest/site/spoof_check.xml
Habilite el servicio ip_spoofcheck. Utilice el nombre que se ha definido en el manifiesto, /site/ip_spoofcheck.

# svcadm enable /site/ip_spoofcheck
Compruebe que el servicio ip_spoofcheck est en lnea.

# svcs /site/ip_spoofcheck
586
C A P T U L O
Arquitectura de seguridad IP (referencia)
21
2 1
Este captulo contiene la siguiente informacin de referencia:

Utilidad de gestin de servicios de IPsec en la pgina 587 Comando ipsecconf en la pgina 588 Archivo ipsecinit.conf en la pgina 589 Comando ipsecalgs en la pgina 590 Base de datos de asociaciones de seguridad para IPsec en la pgina 591 Utilidades para la generacin de claves en IPsec en la pgina 591 Extensiones IPsec para otras utilidades en la pgina 593
Para obtener instrucciones sobre cmo implementar IPsec en la red, consulte el Captulo 20, Configuracin de IPsec (tareas). Para ver una descripcin general de IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general).
Utilidad de gestin de servicios de IPsec

La utilidad de gestin de servicios (SMF) proporciona los siguientes servicios para IPsec:
svc:/network/ipsec/policy servicio administra la directiva IPsec. Por defecto, este servicio est habilitado. El valor de la propiedad config_file determina la ubicacin del archivo ipsecinit.conf. El valor inicial es /etc/inet/ipsecinit.conf. svc:/network/ipsec/ipsecalgs servicio Administra los algoritmos que estn disponibles para IPsec. Por defecto, este servicio est habilitado. svc:/network/ipsec/manual-key servicio - Activa la gestin manual de claves. Por defecto, este servicio est inhabilitado. El valor de la propiedad config_file determina la ubicacin del archivo de configuracin ipseckeys. El valor inicial es /etc/inet/secret/ipseckeys. svc:/network/ipsec/ike servicio Administra IKE. Por defecto, este servicio est inhabilitado. Si desea conocer las propiedades configurables, consulte Utilidad de gestin de servicios de IKE en la pgina 653.
587
Comando ipsecconf
Para obtener ms informacin sobre SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5),svcadm(1M) y svccfg(1M).
Comando ipsecconf
El comando ipsecconf permite configurar la directiva IPsec para un host. Al ejecutar el comando para configurar la directiva, el sistema crea las entradas de la directiva IPsec en el ncleo. El sistema utiliza estas entradas para comprobar la directiva en todos los datagramas IP entrantes y salientes. Los datagramas reenviados no estn sujetos a las comprobaciones de directivas que se agregan utilizando este comando. El comando ipsecconf tambin configura la base de datos de directivas de seguridad (SPD).
Para obtener informacin sobre cmo proteger los paquetes reenviados, consulte las pginas del comando man ifconfig(1M) y tun(7M). Para conocer las opciones de directiva IPsec, consulte la pgina del comando man ipsecconf(1M). Para obtener instrucciones sobre cmo utilizar el comando ipsecconf para proteger el trfico entre los sistemas, consulte Configuracin de IKE (mapa de tareas) en la pgina 605.
Debe convertirse en superusuario o asumir un rol equivalente para invocar el comando ipsecconf. El comando acepta entradas que protegen el trfico en ambas direcciones. El comando tambin acepta entradas que protegen el trfico slo en una direccin. Las entradas de directiva con un formato de direccin local y direccin remota pueden proteger el trfico en ambas direcciones con una sola entrada de directiva. Por ejemplo, las entradas que contienen los patrones laddr host1 y raddr host2 protegen el trfico en ambas direcciones, si no se especifica ninguna direccin para el host con nombre. De este modo, slo necesita una entrada de directiva para cada host. Las entradas de directiva con un formato de direccin de origen a direccin de destino slo protegen el trfico en una direccin. Por ejemplo, una entrada de directiva del patrn saddr host1 daddr host2 protege el trfico entrante o el saliente, no el trfico en ambas direcciones. Por tanto, para proteger el trfico en ambas direcciones, es necesario transferir al comando ipsecconf otra entrada, como en saddr host2 daddr host1. Para asegurarse de que la directiva IPsec est activa cuando se arranque el equipo, puede crear un archivo de directiva IPsec, /etc/inet/ipsecinit.conf. Este archivo se lee cuando se inician los servicios de red. Para obtener instrucciones sobre cmo crear un archivo de directiva IPsec, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527. A partir de la versin &s10u7, con la opcin -c , el comando ipsecconf comprueba la sintaxis del archivo de directiva IPsec que proporciona como argumento.
Archivo ipsecinit.conf
Las entradas de directivas agregadas por el comando ipsecconf no persisten tras un reinicio del sistema. Para asegurarse de que la directiva IPsec est activa cuando el sistema arranca, agregue las entradas de directivas al archivo /etc/inet/ipsecinit.conf. En la versin actual, actualice o habilite el servicio directiva. En una versin anterior a Solaris 10 4/09 reinicie o utilice el comando ipsecconf. Si desea conocer ejemplos, consulte Proteccin del trfico con IPsec (mapa de tareas) en la pgina 527.
Archivo ipsecinit.conf
Para invocar las directivas de seguridad IPsec al iniciar Sistema operativo Solaris (sistema operativo Solaris), se crea un archivo de configuracin para iniciar IPsec con las entradas de directiva IPsec especficas. El nombre predeterminado para este archivo es /etc/inet/ipsecinit.conf. Consulte la pgina del comando man ipsecconf(1M) para obtener ms informacin acerca de las entradas de directiva y su formato. Una vez configuradas las directivas, puede utilizar el comando ipsecconf para ver o modificar la configuracin existente. A partir de Solaris 10 4/09, debe actualizar el servicio polcy para modificar la configuracin existente.
Archivo ipsecinit.conf de ejemplo

El software Solaris incluye un archivo de directiva IPsec de ejemplo, ipsecinit.sample. Puede utilizar dicho archivo como plantilla para crear su propio archivo ipsecinit.conf. El archivo ipsecinit.sample contiene los ejemplos siguientes:
# # # # # # # # # # # # # # # # # # # #
For example, {rport 23} ipsec {encr_algs des encr_auth_algs md5} will protect the telnet traffic originating from the host with ESP using DES and MD5. Also: {raddr 10.5.5.0/24} ipsec {auth_algs any} will protect traffic to or from the 10.5.5.0 subnet with AH using any available algorithm.
To do basic filtering, a drop rule may be used. For example: {lport 23 dir in} drop {} {lport 23 dir out} drop {} will disallow any remote system from telnetting in.
Captulo 21 Arquitectura de seguridad IP (referencia)
589
Comando ipsecalgs
# # # # # # #
If you are using IPv6, it may be useful to bypass neighbor discovery to allow in.iked to work properly with on-link neighbors. To do that, add the following lines: {ulp ipv6-icmp type 133-137 dir both } pass { } This will allow neighbor discovery to work normally.
Consideraciones de seguridad para ipsecinit.conf e ipsecconf

Tenga especial precaucin al transmitir una copia del archivo ipsecinit.conf por una red. Un adversario puede leer un archivo montado en red mientras se lee el archivo. Si, por ejemplo, se accede al archivo /etc/inet/ipsecinit.conf o se copia desde un sistema de archivos montado en NFS, un adversario puede cambiar la directiva que contiene el archivo. Asegrese de configurar las directivas IPsec antes de iniciar cualquier comunicacin, ya que las conexiones existentes podran verse afectadas por la adicin de nuevas entradas de directiva. Asimismo, no cambie las directivas durante una comunicacin. Especficamente, la directiva IPsec no puede cambiarse para los sockets SCTP, TCP o UDP en los que se ha emitido una llamada de funcin connect() o accept. () Un socket cuya directiva no se puede modificar se denomina socket bloqueado. Las nuevas entradas de directiva no protegen los sockets que ya estn bloqueados. Para ms informacin, consulte las pginas del comando man connect(3SOCKET) y accept(3SOCKET). Proteja su sistema de nombres. Si se cumplen las dos condiciones siguientes, los nombres de host dejarn de ser de confianza:

La direccin de origen es un host que se puede buscar en la red. El sistema de nombres est en peligro.
Los fallos de seguridad a menudo se deben a la mala aplicacin de las herramientas, no a las herramientas en s. Utilice el comando ipsecconf con precaucin. Utilice una consola u otro TTY conectado fsicamente para obtener el funcionamiento mas seguro.
Comando ipsecalgs
La estructura criptogrfica de Solaris proporciona autenticacin y algoritmos de cifrado para IPsec. El comando ipsecalgs puede enumerar los algoritmos que cada protocolo de IPsec admite. La configuracin ipsecalgs se almacena en el archivo /etc/inet/ipsecalgs. Normalmente, este archivo no necesita modificarse. Sin embargo, si el archivo debe modificarse, utilice el comando ipsecalgs. El archivo nunca debe editarse directamente. En la versin actual, los algoritmos admitidos se sincronizan con el ncleo en el arranque del sistema mediante el servicio svc:/network/ipsec/ipsecalgs:default.
Utilidades para la generacin de claves en IPsec
ISAKMP dominio de interpretacin, que se trata en la norma RFC 1407, describe los algoritmos y protocolos IPsec vlidos. De manera general, el dominio de interpretacin define los formatos de los datos, los tipos de intercambio de trfico de red y las convenciones de denominacin de informacin relacionada con la seguridad. Ejemplos de informacin relacionada con la seguridad son los algoritmos y modos criptogrficos, y las directrices de seguridad. En concreto, el DOI ISAKMP define las convenciones de denominacin y numeracin para los algoritmos IPsec vlidos y sus protocolos. PROTO_IPSEC_AH y PROTO_IPSEC_ESP. Cada algoritmo se asocia exactamente con un protocolo. Estas definiciones DOI ISAKMP se encuentran en el archivo /etc/inet/ipsecalgs. Los nmeros de protocolo y algoritmos los define la Autoridad de nmeros asignados de Internet (IANA). El comando ipsecalgs permite ampliar la lista de algoritmos para IPsec. Para obtener ms informacin acerca de los algoritmos, consulte la pgina del comando man ipsecalgs(1M) Para mas informacin sobre la estructura criptogrfica de Solaris, consulte el Captulo 13, Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services.
Base de datos de asociaciones de seguridad para IPsec

La informacin sobre el material de claves para los servicios de seguridad IPsec se guarda en una base de datos de asociaciones de seguridad (SADB). Las asociaciones de seguridad (SA) protegen los paquetes entrantes y salientes. Las SADB se controlan mediante un proceso de usuario, o posiblemente varios procesos a la vez, que envan mensajes a travs de un tipo de socket especial. Este modo de controlar las SADB es anlogo al mtodo que se describe en la pgina del comando man route(7P) Slo el superusuario o un usuario que haya asumido un rol equivalente pueden acceder a la base de datos. El daemon in.iked y el comando ipseckey utilizan la interfaz de socket PF_KEY para mantener las SADB. Para ms informacin sobre cmo administrar las solicitudes y mensajes de SADB, consulte la pgina del comando man pf_key(7P).

El protocolo IKE permite administrar automticamente las claves para las direcciones IPv4 e IPv6. Consulte el Captulo 23, Configuracin de IKE (tareas) para obtener instrucciones sobre cmo configurar IKE. La utilidad de claves manuales es el comando ipseckey, que se describe en la pgina del comando man ipseckey(1M). Puede usar el comando ipseckey para rellenar manualmente la base de datos de asociaciones de seguridad (SADB). Normalmente, la generacin manual de SA se utiliza cuando IKE no est disponible por algn motivo. Sin embargo, si los valores SPI son exclusivos, la generacin manual de SA e IKE se pueden utilizar al mismo tiempo.
Captulo 21 Arquitectura de seguridad IP (referencia) 591
El comando ipseckey puede utilizarse para ver todas las SA conocidas por el sistema, independientemente de si las claves se han agregado manualmente o mediante IKE. A partir de la versin Solaris 10 4/09, con la opcin -c, el comando ipseckey comprueba la sintaxis del archivo de claves que proporciona como argumento. Las IPsec SA que aade el comando ipseckey no persisten tras el reinicio del sistema. En la versin actual, para habilitar manualmente las SA agregadas en el arranque del sistema, agregue entradas al archivo /etc/inet/secret/ipseckeys y, a continuacin, habilite el servicio svc:/network/ipsec/manual-key:default. Si desea conocer el procedimiento, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539. Aunque el comando ipseckey tiene un nmero limitado de opciones generales, admite un lenguaje de comandos amplio. Puede especificar que las solicitudes se enven mediante una interfaz de programacin especfica para las claves manuales. Para obtener informacin adicional, consulte la pgina del comando man pf_key(7P).
Consideraciones de seguridad para ipseckey

El comando ipseckey permite al superusuario o a una funcin con el perfil de seguridad de red o de derechos de administracin de redes IPsec especificar informacin criptogrfica confidencial de claves. Si un adversario obtiene acceso a esta informacin, puede poner en peligro la seguridad del trfico IPsec. Cuando administre material de claves y utilice el comando ipseckey, debe tener en cuenta los aspectos siguientes:
Ha actualizado el material de claves? La actualizacin peridica de las claves es fundamental para garantizar la seguridad. La actualizacin de las claves protege contra posibles ataques de los algoritmos y las claves, y limita los daos a los que se expone una clave. El TTY se transfiere por una red? El comando ipseckey est en modo interactivo?
En modo interactivo, la seguridad del material de claves es la seguridad de la ruta de red para el trfico de este TTY. Debe evitar el uso del comando ipseckey en una sesin rlogin o telnet de texto simple. Incluso las ventanas locales podran ser vulnerables a ataques de un programa oculto que lee los eventos de ventanas.
Ha utilizado la opcin -f? Se est accediendo al archivo a travs de la red? Todo el mundo puede leer el archivo?
Un adversario puede leer un archivo montado en red mientras se lee el archivo. Debe evitar el uso de un archivo con material de claves que pueda leer todo el mundo. Proteja su sistema de nombres. Si se cumplen las dos condiciones siguientes, los nombres de host dejarn de ser de confianza:
La direccin de origen es un host que se puede buscar en la red.
592
Extensiones IPsec para otras utilidades
El sistema de nombres est en peligro.
Los fallos de seguridad a menudo se deben a la mala aplicacin de las herramientas, no a las herramientas en s. Utilice el comando ipseckey con precaucin. Utilice una consola u otro TTY conectado fsicamente para obtener el funcionamiento mas seguro.

El comando ifconfig tiene opciones para administrar la directiva IPsec en una interfaz de tnel. El comando snoop puede analizar los encabezados AH y ESP.
Comando ifconfig e IPsec

En Solaris 10, Solaris 10 7/05, Solaris 10 1/06 y Solaris 10 11/06: Para admitir IPsec, con el comando ifconfig hay disponibles las siguientes opciones de seguridad. Estas opciones de seguridad se administran mediante el comando ipsecconf de Solaris 10 8/07.

auth_algs encr_auth_algs encr_algs
Debe especificar todas las opciones de seguridad de IPsec para un tnel de una invocacin. Por ejemplo, si utiliza solamente ESP para proteger el trfico, debe configurar el tnel (ip.tun0) una vez con ambas opciones de seguridad, como en el ejemplo siguiente:
# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5
De un modo similar, una entrada de ipsecinit.conf configurara el tnel una vez con ambas opciones de seguridad, como en el caso siguiente:
# WAN traffic uses ESP with AES and MD5. {} ipsec {encr_algs aes encr_auth_algs md5}
Opcin de seguridad auth_algs

Esta opcin habilita AH IPsec para un tnel con un algoritmo de autenticacin especificado. La opcin auth_algs tiene el formato siguiente:
auth_algs authentication-algorithm
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo, incluido el parmetro any, para no expresar ninguna preferencia de algoritmo especfica. Para desactivar la seguridad del tnel, especifique la opcin siguiente:
auth_algs none
Captulo 21 Arquitectura de seguridad IP (referencia) 593
Para ver una lista de los algoritmos de autenticacin disponibles, ejecute el comando ipsecalgs.
Nota La opcin auth_algs no puede funcionar con NAT-Traversal. Para ms informacin, consulte Paso a travs de IPsec y NAT en la pgina 520.
Opcin de seguridad encr_auth_algs

Esta opcin habilita ESP IPsec para un tnel con un algoritmo de autenticacin especificado. La opcin encr_auth_algs tiene el formato siguiente:
encr_auth_algs authentication-algorithm
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo, incluido el parmetro any, para no expresar ninguna preferencia de algoritmo especfica. Si especifica un algoritmo de cifrado ESP pero no especifica el algoritmo de autenticacin, el valor predeterminado del algoritmo de autenticacin ESP es el parmetro any. Para ver una lista de los algoritmos de autenticacin disponibles, ejecute el comando ipsecalgs.
Opcin de seguridad encr_algs

Esta opcin habilita ESP IPsec para un tnel con un algoritmo de cifrado especificado. La opcin encr_algs tiene el formato siguiente:
encr_algs encryption-algorithm
Para el algoritmo, puede especificar un nmero o un nombre de algoritmo. Para desactivar la seguridad del tnel, especifique la opcin siguiente:
encr_algs none
Si especifica un algoritmo de autenticacin ESP pero no un algoritmo de cifrado, el valor de cifrado predeterminado de ESP ser el parmetro null. Para ver una lista de los algoritmos de cifrado disponibles, ejecute el comando ipsecalgs.
Comando snoop e IPsec

El comando snoop puede analizar encabezados AH y ESP. Dado que ESP cifra sus datos, el comando snoop no puede ver los encabezados cifrados protegidos por ESP. AH no cifra los datos. En consecuencia, el trfico que protege AH se puede examinar con el comando snoop. La opcin -V para el comando muestra cundo se est utilizando AH en un paquete. Para obtener ms informacin, consulte la pgina del comando man snoop(1M).
Para ver un ejemplo de resultado snoop detallado en un paquete protegido, consulte Cmo verificar que los paquetes estn protegidos con IPsec en la pgina 544.
Captulo 21 Arquitectura de seguridad IP (referencia)
595
596
C A P T U L O
Intercambio de claves de Internet (descripcin general)
22
2 2
El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestin de claves de IPsec. Este captulo contiene la informacin siguiente sobre IKE:

Novedades de IKE en la pgina 597 Administracin de claves con IKE en la pgina 598 Negociacin de claves IKE en la pgina 598 Opciones de configuracin de IKE en la pgina 600 IKE y aceleracin de hardware en la pgina 602 IKE y almacenamiento de hardware en la pgina 602 Archivos y utilidades IKE en la pgina 602 Cambios de IKE en Solaris 10 en la pgina 604
Para obtener instrucciones sobre cmo implementar IKE, consulte el Captulo 23, Configuracin de IKE (tareas). Para obtener informacin de referencia, consulte el Captulo 24, Intercambio de claves de Internet (referencia). Para obtener informacin sobre IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general).
Novedades de IKE
Solaris 10 4/09: A partir de esta versin, la utilidad de gestin de servicios (SMF) administra IKE como servicio. Por defecto, el servicio red/svc:/ipsec/ike:predeterminado est deshabilitado. Tambin en esta versin, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE. Solaris 10 8/07: A partir de esta versin, IKE puede utilizar el algoritmo AES y configurarse en la zona global para utilizar en zonas no globales.

La opcin de socket SO_ALLZONES permite a IKE controlar el trfico de las zonas no globales. Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10.
597
Administracin de claves con IKE
Administracin de claves con IKE

La administracin del material de claves de las asociaciones de seguridad de IPsec se denomina administracin de claves. La administracin de claves automtica requiere un canal de comunicacin seguro para la creacin, autenticacin e intercambio de claves. Sistema operativo Solaris utiliza el intercambio de claves de Internet (IKE) para automatizar la administracin de claves. IKE se escala fcilmente para proporcionar un canal seguro para un volumen de trfico importante. Las asociaciones de seguridad de IPsec en paquetes IPv4 e IPv6 pueden aprovechar IKE. Cuando se utiliza IKE en un sistema con una placa de SunTM Crypto Accelerator 1000, Sun Crypto Accelerator 4000 o Sun Crypto Accelerator 6000, las operaciones de claves pblicas se pueden descargar en el acelerador. Los recursos del sistema operativo no se utilizan para las operaciones de claves pblicas. Cuando se utiliza IKE en un sistema con una placa de Sun Crypto Accelerator 6000 o Sun Crypto Accelerator 4000, los certificados, claves pblicas y claves privadas se pueden almacenar en la placa. El almacenamiento de claves fuera del sistema proporciona una capa de proteccin adicional.
Negociacin de claves IKE

El daemon IKE, in.iked, negocia y autentica el material de claves para las asociaciones de seguridad de forma protegida. El daemon utiliza nmeros generadores aleatorios a partir de funciones internas que proporciona Sistema operativo Solaris. IKE proporciona confidencialidad directa perfecta (PFS). En PFS, las claves que protegen la transmisin de datos no se utilizan para derivar claves adicionales. Asimismo, los nmeros generadores que se utilizan para crear claves de transmisin de datos no se vuelven a utilizar. Consulte la pgina del comando man in.iked(1M). Cuando el daemon IKE descubre una clave de cifrado pblica del sistema remoto, el sistema puede utilizar dicha clave. El sistema cifra los mensajes utilizando la clave pblica del sistema remoto. Slo el sistema remoto puede leer los mensajes. El daemon IKE lleva a cabo su trabajo en dos fases. Las fases se denominan intercambios.
Terminologa de claves IKE

La tabla siguiente enumera los trminos que se utilizan en el mbito de la negociacin de claves, incluye sus acrnimos habituales y aporta una definicin e informacin del uso de cada trmino.
598
Negociacin de claves IKE
TABLA 221
Trminos de negociacin de claves, acrnimos y usos

Acrnimo Definicin y uso
Trmino de negociacin de claves
Intercambio de claves Protocolo Diffie-Hellman Protocolo RSA DH
El proceso de generacin de claves para los algoritmos criptogrficos asimtricos. Los dos mtodos principales son los protocolos RSA y el protocolo Diffie-Hellman. Protocolo de intercambio de claves que implica la generacin y la autenticacin de claves. A menudo se denomina intercambio de claves autenticadas. Protocolo de intercambio de claves que implica la generacin y el transporte de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman. Slo se aplica en el intercambio de claves autenticadas. PFS garantiza que el material secreto a largo plazo para las claves no ponga en peligro la confidencialidad de las claves intercambiadas de comunicaciones anteriores. En PFS, la clave que se emplea para proteger la transmisin de datos no se aplica en la derivacin de claves adicionales. La fuente de la clave que se usa para proteger la transmisin de datos tampoco se emplea en la derivacin de claves adicionales.
RSA
Confidencialidad directa perfecta
PFS
Mtodo Oakley
Mtodo para establecer claves para la fase 2 de un modo seguro. Este protocolo es anlogo al mtodo Diffie-Hellman de intercambio de claves. De un modo similar a Diffie-Hellman, el intercambio de claves de grupo Oakley implica la generacin de claves y la autenticacin de claves. El mtodo Oakley se utiliza para negociar PFS.
Intercambio de IKE de fase 1

El intercambio de fase 1 se conoce como modo principal. En el intercambio de fase 1, IKE utiliza mtodos de cifrado de claves pblicas para autenticarse con entidades IKE equivalentes. El resultado es una asociacin de seguridad de Internet y una asociacin de seguridad del protocolo de administracin de claves (ISAKMP). Una asociacin de seguridad ISAKMP es un canal seguro para que IKE negocie el material de claves para los datagramas IP. A diferencia de las asociaciones de seguridad de IPsec, las asociaciones de seguridad de ISAKMP son bidireccionales, de modo que slo se necesita una asociacin de seguridad. El modo en que IKE negocia el material de claves en el intercambio de la fase 1 es configurable. IKE lee la informacin de configuracin del archivo /etc/inet/ike/config. La informacin de configuracin incluye:

Parmetros globales, como los nombres de los certificados de claves pblicas Si se utiliza confidencialidad directa perfecta (PFS) Las interfaces implicadas
599
Captulo 22 Intercambio de claves de Internet (descripcin general)
Opciones de configuracin de IKE
Los protocolos de seguridad y sus algoritmos El mtodo de autenticacin
Los dos mtodos de autenticacin son las claves previamente compartidas y los certificados de claves pblicas. Los certificados de claves pblicas pueden ser autofirmados. Los certificados tambin los puede emitir una autoridad de certificacin desde una organizacin de infraestructuras de clave pblica (PKI). Las organizaciones incluyen beTrusted, Entrust, GeoTrust, RSA Security y Verisign.
Intercambio de IKE de fase 2

El intercambio de fase 2 se conoce como modo rpido (Quick). En el intercambio de fase 2, IKE crea y administra las asociaciones de seguridad de IPsec entre los sistemas que ejecutan el daemon de IKE. IKE utiliza el canal seguro creado en el intercambio de fase 1 para proteger la transmisin del material de claves. El daemon IKE crea las claves a partir de un generador de nmeros aleatorio utilizando el dispositivo /dev/random. La velocidad a la que el daemon actualiza las claves se puede configurar. El material de claves est disponible para los algoritmos especificados en el archivo de configuracin para la directiva IPsec, ipsecinit.conf.

El archivo de configuracin /etc/inet/ike/config contiene entradas de directiva IKE. Para que dos daemons IKE se autentiquen entre s, las entradas deben ser vlidas. Adems, el material de claves debe estar disponible. Las entradas del archivo de configuracin determinan el mtodo para utilizar el material de claves para autenticar el intercambio de fase 1. Las opciones son las claves previamente compartidas o los certificados de claves pblicas. La entrada auth_method preshared indica que se utilizan claves previamente compartidas. Los valores de auth_method que no sean preshared indican que se deben utilizar certificados de claves pblicas. Los certificados de claves pblicas pueden ser autofirmados o instalarse desde una organizacin de PKI. Para ms informacin, consulte la pgina del comando man ike.config(4).
IKE con claves previamente compartidas

Las claves previamente compartidas las crea un administrador de un sistema. A continuacin, se comparten las claves fuera de la banda con administradores de sistemas remotos. Debe procurar crear claves aleatorias largas y proteger el archivo y la transmisin fuera de banda. Las claves se colocan en el archivo /etc/inet/secret/ike.preshared de cada sistema. El archivo ike.preshared para IKE hace las funciones del archivo ipseckeys para IPsec. Cualquier peligro para las claves del archivo ike.preshared pondr en peligro todas las claves que se deriven de las claves del archivo.
Una clave previamente compartida del sistema debe ser idntica a su clave de sistema remoto. Las claves estn vinculadas a una direccin IP especfica. Las claves son ms seguras cuando un administrador controla los sistemas que se comunican. Para obtener ms informacin, consulte la pgina del comando man ike.preshared(4).
IKE con certificados de claves pblicas

Los certificados de claves pblicas acaban con la necesidad de que los sistemas que se comunican compartan el material de claves secreto fuera de banda. Las claves publicas utilizan el protocolo de Diffie-Hellman (DH) para autenticar y negociar claves. Existen dos tipos de certificados de claves pblicas. Los certificados pueden ser autofirmados o certificados por una autoridad de certificacin. Los certificados de claves pblicas autofirmadas los crea el administrador. El comando ikecert certlocal -ks crea la parte privada del par de claves pblica-privada para el sistema. A continuacin se obtiene el resultado del certificado autofirmado en formato X.509 del sistema remoto. El certificado del sistema remoto se incluye en el comando ikecert certdb para la parte pblica del par de claves. Los certificados autofirmados se encuentran en el directorio /etc/inet/ike/publickeys de los sistemas que se comunican. Cuando se utiliza la opcin -T, los certificados residen en el hardware conectado. Los certificados autofirmados son un punto intermedio entre las claves previamente compartidas y las autoridades de certificacin. A diferencia de las claves previamente compartidas, un certificado autofirmado se puede utilizar en un equipo porttil o en un sistema cuya numeracin podra cambiar. Para autofirmar un certificado para un sistema sin un nmero fijo, utilice un nombre alternativo DNS (www.example.org ) o email (root@domain.org). Las claves pblicas se pueden entregar mediante PKI o una organizacin de autoridad de certificacin. Las claves pblicas y sus autoridades de certificacin pertinentes se instalan en el directorio /etc/inet/ike/publickeys. Cuando se utiliza la opcin -T, los certificados residen en el hardware conectado. Los proveedores tambin emiten listas de revocacin de certificados (CRL). Junto con la instalacin de las claves y las autoridades de certificacin, debe instalar la CRL en el directorio /etc/inet/ike/crls. Las autoridades de certificacin tienen la ventaja de estar certificadas por una organizacin exterior, en lugar del administrador del sitio. En cierto modo, las autoridades de certificacin son certificados autorizados. Al igual que ocurre con los certificados autofirmados, las autoridades de certificacin se pueden utilizar en un equipo porttil o en un sistema cuya numeracin podra cambiar. A diferencia de los certificados autofirmados, las autoridades de certificacin se pueden escalar muy fcilmente para proteger una gran cantidad de sistemas que se comunican.
Captulo 22 Intercambio de claves de Internet (descripcin general) 601
IKE y aceleracin de hardware
IKE y aceleracin de hardware

Los algoritmos IKE requieren clculos complejos, especialmente en el intercambio de fase 1. Los sistemas que controlan una gran cantidad de intercambios pueden utilizar una placa de Sun Crypto Accelerator 1000 para administrar las operaciones de claves pblicas. Las placas de Sun Crypto Accelerator 4000 y Crypto Accelerator 6000 de Sun tambin se pueden utilizar para manejar clculos de Fase 1 costosos. Para obtener informacin sobre cmo configurar IKE para descargar sus clculos en la placa del acelerador, consulte Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000 en la pgina 647. Para obtener informacin sobre cmo almacenar claves, consulte Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 en la pgina 648 y la pgina del comando man cryptoadm(1M).
IKE y almacenamiento de hardware

Los certificados de claves pblicas, las claves privadas y las claves pblicas se pueden almacenar en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun. Para el cifrado RSA, la placa Sun Crypto Accelerator 4000 admite claves de hasta 2.048 bits. Para el cifrado DSA, la placa admite claves de hasta 1.024 bits. La placa Crypto Accelerator 6000 de Sun es compatible con los algoritmos SHA-512 y ECC. Para obtener informacin sobre cmo configurar IKE para acceder a la placa, consulte Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000 en la pgina 647. Para obtener informacin sobre cmo agregar certificados y claves pblicas a la placa, consulte Cmo generar y almacenar certificados de clave pblica en el hardware en la pgina 631.
Archivos y utilidades IKE

La siguiente tabla resume los archivos de configuracin para la directiva IKE, las ubicaciones de almacenamiento para las claves IKE y los distintos comandos y servicios que implementan IKE. Para obtener ms informacin sobre los servicios, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration.
TABLA 222
Archivos de configuracin de IKE, ubicaciones de almacenamiento de claves, comandos y servicios

Descripcin Para obtener ms informacin
Archivo, ubicacin, comando o servicio
svc: /network/ipsec/ike
En la versin actual, el servicio SMF que gestiona IKE.
smf(5)
602
Archivos y utilidades IKE
TABLA 222
Archivos de configuracin de IKE, ubicaciones de almacenamiento de claves, comandos y servicios (Continuacin)

Archivo, ubicacin, comando o servicio Descripcin Para obtener ms informacin
Daemon /usr/lib/inet/in.iked
Daemon de intercambio de claves de Internet (IKE). Activa la administracin de claves automtica. En la versin actual, el servicio ike habilita este daemon. En las versiones anteriores, se utiliza el comando in.iked. Comando de administracin de IKE para ver y modificar la directiva IKE. Comando de administracin de bases de datos de certificados para administrar bases de datos locales que contienen certificados de claves pblicas. Estas bases de datos tambin se puede almacenar en una placa de Sun Crypto Accelerator 4000 conectada. Archivo de configuracin predeterminada para la directiva IKE en el directorio /etc/inet. Contiene las reglas del sitio para hacer coincidir las solicitudes IKE entrantes y preparar las solicitudes IKE salientes. En la versin actual, si este archivo existe, el daemon en.iked se inicia cuando el servicio ike est habilitado. El comando svccfg puede modificar la ubicacin de este archivo.
in.iked(1M)
Comando /usr/sbin/ikeadm Comando /usr/sbin/ikecert
ikeadm(1M)
ikecert(1M)
Archivo /etc/inet/ike/config
ike.config(4)
Archivo ike.preshared
Archivo de claves previamente compartidas del directorio /etc/inet/secret. Contiene material de claves secretas para autenticacin en el intercambio de fase 1. Se utiliza al configurar IKE con claves previamente compartidas.
ike.preshared(4)
Directorio ike.privatekeys
Directorio de claves privadas del directorio /etc/inet/secret. ikecert(1M) Contiene las claves privadas que forman parte de un par de claves pblica-privada. Directorio del directorio /etc/inet/ike que contiene archivos de certificados y claves pblicas. Contiene la parte de clave pblica de un par de claves pblica-privada. Directorio del directorio /etc/inet/ike que incluye listas de revocacin para archivos de certificados y claves pblicas. Hardware que acelera las operaciones de claves pblicas al descargar las operaciones del sistema operativo. ikecert(1M)
Directorio publickeys
Directorio crls Placa de Sun Crypto Accelerator 1000 Placa de Sun Crypto Accelerator 4000
ikecert(1M)
ikecert(1M)
Hardware que acelera las operaciones de claves pblicas al ikecert(1M) descargar las operaciones del sistema operativo. La placa tambin almacena claves pblicas, claves privadas y certificados de claves pblicas.
Captulo 22 Intercambio de claves de Internet (descripcin general)
603
Cambios de IKE en Solaris 10
Cambios de IKE en Solaris 10

A partir de Solaris 9, IKE incluye las funciones siguientes:
IKE se puede utilizar para automatizar el intercambio de claves para IPsec en redes IPv6. Para ms informacin, consulte Administracin de claves con IKE en la pgina 598.
Nota IKE no se puede utilizar para administrar claves para IPsec en una zona no global.
Las operaciones de claves pblicas de IKE se pueden acelerar mediante una placa de Sun Crypto Accelerator 1000 o una placa de Sun Crypto Accelerator 4000. Las operaciones se descargan en la placa. La descarga acelera el cifrado y reduce las exigencias con respecto al sistema operativo. Para mas informacin, consulte IKE y aceleracin de hardware en la pgina 602. Para conocer los procedimientos, consulte Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 646. Los certificados de claves pblicas, las claves privadas y las claves pblicas se pueden guardar en una placa de Sun Crypto Accelerator 4000. Para obtener ms informacin sobre el almacenamiento de claves, consulte IKE y almacenamiento de hardware en la pgina 602. IKE se puede utilizar para automatizar el intercambio de claves para IPsec desde un encaminador NAT. El trfico debe utilizar una red IPv4. Asimismo, las claves ESP IPsec a travs de NAT no pueden acelerarse con hardware. Para ms informacin, consulte Paso a travs de IPsec y NAT en la pgina 520. Para ver los procedimientos, consulte Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638. Al archivo /etc/inet/ike/config se le han agregado parmetros de retransmisin y parmetros de tiempo de espera agotado de paquetes. Estos parmetros ajustan la negociacin de IKE de fase 1 (modo principal) para administrar la interferencia de redes, el trfico de red elevado y la interoperacin con plataformas que tienen diferentes implementaciones del protocolo IKE. Para obtener ms informacin sobre los parmetros, consulte la pgina del comando man ike.config(4) Para ver los procedimientos, consulte Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 650.
604
C A P T U L O
Configuracin de IKE (tareas)
23
2 3
En este captulo se describe cmo configurar Internet Key Exchange (IKE) para sus sistemas. Una vez configurado IKE, se genera automticamente material de claves para IPsec en la red. Este captulo contiene la informacin siguiente:

Configuracin de IKE (mapa de tareas) en la pgina 605 Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 606 Configuracin de IKE con certificados de clave pblica (mapa de tareas) en la pgina 618 Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638 Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 646 Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 650
Para obtener informacin general sobre IKE, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general). Para obtener informacin de referencia sobre IKE, consulte el Captulo 24, Intercambio de claves de Internet (referencia). Para ver ms procedimientos, consulte las secciones de ejemplos de las pginas del comando man ikeadm(1M), ikecert(1M) y ike.config(4).
Configuracin de IKE (mapa de tareas)

Para autenticar IKE puede utilizar claves previamente compartidas, certificados autofirmados y certificados de una autoridad de certificacin. Una regla vincula el mtodo de autenticacin de IKE especfico con los puntos finales que se estn protegiendo. Por tanto, puede utilizar uno o todos los mtodos de autenticacin de IKE de un sistema. Un puntero a una biblioteca PKCS #11 permite a los certificados utilizar un acelerador de hardware conectado. Una vez configurado IKE, complete la tarea de IPsec que utilice la configuracin de IKE. La tabla siguiente hace referencia a los mapas de tareas que se centran en una configuracin de IKE especfica.
605
Configuracin de IKE con claves previamente compartidas (mapa de tareas)
Tarea
Descripcin
Configurar IKE con claves previamente compartidas Configurar IKE con certificados de clave pblica Cruzar un lmite de NAT Configurar IKE para generar y guardar certificados de clave pblica en el hardware conectado Ajustar parmetros de negociacin de clave de fase 1
Protege la comunicacin entre dos sistemas al hacer que dos sistemas compartan una clave secreta. Protege las comunicaciones con certificados de clave pblica. Los certificados pueden ser autofirmados o comprobados por una organizacin de PKI. Configura IPsec e IKE para comunicarse con un sistema porttil
Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 606 Configuracin de IKE con certificados de clave pblica (mapa de tareas) en la pgina 618 Configuracin de IKE para sistemas porttiles (mapa de tareas) en la pgina 638
Permite a una placa Sun Crypto Accelerator 1000 o Configuracin de IKE para buscar el Sun Crypto Accelerator 4000 acelerar las operaciones hardware conectado (mapa de tareas) de IKE. Tambin permite a las placas Sun Crypto en la pgina 646 Accelerator 4000 guardar certificados de clave pblica. Cambia el tiempo de las negociaciones de claves IKE. Cambio de los parmetros de transmisin de IKE (mapa de tareas) en la pgina 650
Configuracin de IKE con claves previamente compartidas (mapa de tareas)

En la tabla siguiente se incluyen los procedimientos para configurar y mantener IKE con claves previamente compartidas.
Configurar IKE con claves previamente compartidas
Crea un archivo de directiva IKE y una clave para compartir.
Cmo configurar IKE con claves previamente compartidas en la pgina 607 Cmo actualizar las claves IKE previamente compartidas en la pgina 610 Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf en la pgina 613 Verificacin de que las claves IKE previamente compartidas sean idnticas en la pgina 617
Actualizar claves previamente Agrega nuevo material de claves para IKE en los compartidas en un sistema IKE sistemas que se comunican. en ejecucin Agregar claves previamente compartidas a un sistema IKE en ejecucin Comprobar que las claves previamente compartidas sean idnticas Agrega una nueva entrada de directiva IKE y nuevo material de claves en un sistema que est aplicando la directiva IKE. Muestra las claves previamente compartidas en ambos sistemas para comprobar que las claves sean idnticas.
606
Configuracin de IKE con claves previamente compartidas

Las claves previamente compartidas constituyen el mtodo de autenticacin ms sencillo para IKE. Si esta configurando dos sistemas para que utilicen IKE y es el administrador de ambos sistemas, se recomienda utilizar claves previamente compartidas. Sin embargo, a diferencia de los certificados de clave pblica, las claves previamente compartidas estn vinculadas a direcciones IP especficas. Las claves previamente compartidas no se pueden utilizar con sistemas porttiles o sistemas cuya numeracin podra variar. Adems, al utilizar claves previamente compartidas, no es posible descargar los clculos de IKE en el hardware conectado.
Cmo configurar IKE con claves previamente compartidas

La implementacin de IKE ofrece algoritmos con claves cuya longitud vara. La longitud de claves que elija depender de la seguridad del sitio. En general, las claves largas son ms seguras que las cortas. Estos procedimientos utilizan los nombres de sistema enigma y partym. Sustituya los nombres de los sistemas con los nombres enigma y partym.
de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura.
2
En cada sistema, copie el archivo /etc/inet/ike/config.sample al archivo /etc/inet/ike/config. Especifique las reglas y los parmetros generales en el archivo ike/config de cada sistema. Las reglas y los parmetros generales de este archivo deberan permitir la correcta aplicacin de la directiva IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de ike/config funcionan con los ejemplos de ipsecinit.conf de Cmo proteger el trfico entre dos sistemas con IPsec en la pgina 529. a. Por ejemplo, modifique el archivo /etc/inet/ike/config del sistema enigma:
### ike/config file on enigma, 192.168.116.16
Captulo 23 Configuracin de IKE (tareas)
607
## Global parameters # ## Phase 1 transform defaults p1_lifetime_secs 14400 p1_nonce_len 40 # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Nota Todos los argumentos del parmetro auth_method deben encontrarse en la misma
lnea. b. Modifique el archivo /etc/inet/ike/config del sistema partym:

### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_lifetime_secs 14400 p1_nonce_len 40 # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 } 4
En cada sistema, compruebe la sintaxis del archivo.

# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
608
Genere nmeros aleatorios para utilizar como material de claves. Si su sitio cuenta con un generador de nmeros aleatorios, utilcelo. En un sistema Solaris, puede utilizar el comando od. Por ejemplo, el siguiente comando imprime dos lneas de nmeros hexadecimales:
% od -X -A n /dev/random | head -2 f47cb0f4 32e14480 951095f8 2b735ba8 0a9467d0 8f92c880 68b6a40e 0efe067d
Para ver una explicacin del comando od, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537 y la pgina del comando man od(1).
Nota Otros sistemas operativos pueden requerir material de claves ASCII. Para generar una
clave idntica en los formatos hexadecimal y ASCII, consulte el Ejemplo 231.

6
Cree una clave a partir del resultado obtenido en el Paso 5.

f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
El algoritmo de autenticacin de este procedimiento es SHA1, tal como se muestra en el Paso 3. El tamao del hash, es decir, el tamao del resultado del algoritmo de autenticacin, determina el tamao mnimo recomendado de una clave previamente compartida. El resultado del algoritmo SHA1 es 160 bits o 40 caracteres. La clave de ejemplo tiene una longitud de 56 caracteres, que proporciona material de claves adicional para usar en IKE.
7
Cree el archivo /etc/inet/secret/ike.preshared en cada sistema. Coloque la clave previamente compartida en cada archivo. a. Por ejemplo, en el sistema enigma, el archivo ike.preshared tendra el siguiente aspecto:
# ike.preshared on enigma, 192.168.116.16 #... { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # enigma and partyms shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
b. En el sistema partym, el archivo ike.preshared tendra el siguiente aspecto:

# ike.preshared on partym, 192.168.13.213 #... { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # partym and enigmas shared key in hex (192 bits)
Captulo 23 Configuracin de IKE (tareas) 609
key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
Nota Las claves previamente compartidas de cada sistema deben ser idnticas. Ejemplo 231
Generacin de material de claves idntico para dos sistemas con diferentes sistemas operativos
Solaris IPsec interopera con otros sistemas operativos. Si su sistema se comunica con un sistema que requiere claves previamente compartidas ASCII, debe generar una clave en dos formatos, hexadecimal y ASCII. En este ejemplo, el administrador del sistema Solaris desea material de claves de 56 caracteres. El administrador utiliza el comando siguiente para generar una clave hexadecimal a partir de una contrasea ASCII. La opcin -tx1 imprime los bytes uno a uno en todos los sistemas Solaris.
# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \ tr -d \n | tr -d | awk {print} 7061706965726d616368652077697468206361736865777320616e64
Al eliminar los desfases y concatenar el resultado hexadecimal, la clave hexadecimal del sistema Solaris es 7061706965726d616368652077697468206361736865777320616e64. El administrador coloca este valor en el archivo ike.preshared del sistema Solaris.
# Shared key in hex (192 bits) key 7061706965726d616368652077697468206361736865777320616e64
En el sistema que requiere claves previamente compartidas ASCII, la contrasea es la clave previamente compartida. El administrador del sistema Solaris comunica por telfono la contrasea (papiermache with cashews and) al otro administrador.
Cmo actualizar las claves IKE previamente compartidas

Este procedimiento presupone que desea reemplazar una clave previamente compartida a intervalos regulares.
610
Nota El inicio de sesin remoto expone el trfico cuya seguridad es crtica a intrusos. Aunque proteja de algn modo el inicio de sesin remoto, la seguridad del sistema se reducir a la seguridad de la sesin remota. Utilice el comando ssh para iniciar una sesin remota de forma segura. 2
Genere nmeros aleatorios y cree una clave con la longitud adecuada. Para obtener ms informacin, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537. Si va a generar una clave previamente compartida para un sistema Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 231.
Sustituya la clave actual por una nueva. Por ejemplo, en los hosts enigma y partym, debe reemplazar el valor de key en el archivo /etc/inet/secret/ike.preshared con un nuevo nmero que tenga la misma longitud.
Lea la nueva clave en el ncleo.
A partir de la versin Solaris 10 4/09, actualice el servicio ike.

# svcadm refresh ike
Si est ejecutando una versin anterior a la Solaris 10 4/09, finalcela y reinicie el daemon in.iked. a. Compruebe el nivel de privilegio del daemon in.iked.
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Puede cambiar el material de claves si el comando devuelve un nivel de privilegio de 0x1 o 0x2. El nivel 0x0 no permite a las operaciones modificar ni ver el material de claves. De modo predeterminado, el daemon in.iked se ejecuta en el nivel de privilegio 0x0. b. Si el nivel de privilegio es 0x0, finalice el daemon y reincielo. Al reiniciar el daemon, lee la nueva versin del archivo ike.preshared.
c. Si el nivel de privilegio es 0x1 o 0x2, lea la nueva versin del archivo ike.preshared.
# ikeadm read preshared
611
Cmo ver las claves IKE previamente compartidas

Por defecto, el comando ikeadm impide que vea las teclas reales en un volcado de una fase 1 SA. La visualizacin de las claves es til durante la depuracin. Para ver las teclas reales, debe aumentar el nivel de privilegios del daemon. Para obtener una descripcin de los niveles de privilegios, consulte Comando de administracin de IKE en la pgina 655.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09 consulte
Ejemplo 232. IKE se configura y el servicio ike se ejecuta. Consulte las teclas previamente compartidas de IKE.
# ikeadm ikeadm> dump preshared 2
Antes de empezar 1
Si aparece un mensaje de error, aumente el nivel de privilegios del daemon in.iked . a. Aumente el nivel de privilegios del daemon in.iked en el repositorio SMF.
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
b. Aumente el nivel de privilegios del daemon in.iked en ejecucin.

# svcadm refresh ike ; svcadm restart ike
c. (Opcional) Confirme que el nivel de privilegios es keymat.

# svcprop -p config/admin_privilege ike keymat
d. Ejecute de nuevo el Paso 1 para ver las teclas.

3
Devuelva al daemon IKE el nivel de privilegios base. a. Despus de ver las claves, devuelva al nivel de privilegios el valor predeterminado.
# svccfg -s ike setprop config/admin_privilege=base
b. Actualice y, a continuacin, reinicie IKE.

# svcadm refresh ike ; svcadm restart ike
Ejemplo 232
Verificacin de las claves IKE compartidas previamente en una versin anterior a Solaris 10 4/09
En el siguiente ejemplo, el administrador est consultando claves en un sistema Solaris que no ejecuta la versin actual de Solaris. El administrador desea comprobar que las claves de este sistema son idnticas a las del sistema de comunicacin. Despus de comprobar que las claves de los dos sistemas son idnticos, el administrador restablece el nivel de privilegios a 0.
En primer lugar, el administrador determina el nivel de privilegios del daemon in.iked.

adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Debido a que el nivel de privilegios no es 0x1 o 0x2, el administrador detiene el daemon in.iked y, a continuacin, aumenta el nivel de privilegios a 2.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
El administrador muestra las claves.

adm1 # PSKEY: LOCIP: REMIP: ikeadm dump preshared Preshared key (24 bytes): f47cb.../192 AF_INET: port 0, 192.168.116.16 (adm1). AF_INET: port 0, 192.168.13.213 (com1).
El administrador inicia sesin remota en el sistema de comunicacin y determina que las claves sean idnticas. A continuacin, el administrador restablece el nivel bsico de privilegios.
# ikeadm set priv base
Cmo agregar una clave IKE previamente compartida para una nueva entrada de directiva en ipsecinit.conf
Si agrega entradas de la directiva IPsec, mientras se ejecutan IPsec e IKE, deber leer la nueva directiva y las reglas IKE en el ncleo. A partir de la versin Solaris 10 4/09, reinicie el servicio de directivas y actualice el servicio ike despus de agregar las nuevas claves.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09, consulte el
Ejemplo 233.
613
Antes de empezar
Este procedimiento presupone lo siguiente:
El sistema enigma est configurado de acuerdo con lo descrito en Cmo configurar IKE con claves previamente compartidas en la pgina 607. El sistema enigma va a proteger su trfico con un nuevo sistema, ada. El daemon in.iked se ejecuta en ambos sistemas. Las interfaces de los sistemas se incluyen como entradas en el archivo /etc/hosts de ambos sistemas. La entrada siguiente es un ejemplo.
192.168.15.7 ada 192.168.116.16 enigma
Este procedimiento tambin funciona con una direccin IPv6 en el archivo /etc/inet/ipnodes. A partir de la versin Solaris 10 5/07 las entradas IPv6 se colocan en el archivo /etc/hosts.
Ha agregado una nueva entrada de directiva en el archivo /etc/inet/ipsecinit.conf en ambos sistemas. Las entradas tienen el siguiente aspecto:
# ipsecinit.conf file for enigma {laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared} # ipsecinit.conf file for ada {laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared}
En la versin actual, ha comprobado la sintaxis del archivo /etc/inet/ipsecinit.conf en ambos sistemas mediante lo siguiente:
En este sistema, genere nmeros aleatorios y cree una clave de entre 64 y 448 bits. Para obtener ms informacin, consulte Cmo generar nmeros aleatorios en un sistema Solaris en la pgina 537. Si va a generar una clave previamente compartida para un sistema Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 231.
614
Enve la clave al administrador del sistema remoto. Ambos deben agregar la misma clave previamente compartida y de forma simultnea. La seguridad de su clave depende de la seguridad de su mecanismo de transmisin. Se recomienda un mecanismo fuera de banda, como un correo registrado o un fax protegido. Tambin puede utilizar una sesin ssh para administrar ambos sistemas.
Cree una regla para que IKE administre las claves para enigma y ada. a. En el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/config:
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }
b. En el sistema ada, agregue la siguiente regla:

### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 } 5
Asegrese de que haya claves IKE previamente compartidas al rearrancar. a. En el sistema enigma, agregue la siguiente informacin al archivo /etc/inet/secret/ike.preshared:
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and adas shared key in hex (32 - 448 bits required)
key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
b. En el sistema ada, agregue la informacin siguiente al archivo ike.preshared:

# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigmas shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d } 6
En cada sistema, reinicie el servicio de directivas de IPsec para asegurar la interfaz agregada.
# svcadm restart policy
En cada sistema, actualice el servicio ike.

# svcadm refresh ike
Compruebe que los sistemas se puedan comunicar. Consulte Verificacin de que las claves IKE previamente compartidas sean idnticas en la pgina 617.
Ejemplo 233
Adicin de una clave IKE compartida previamente para una nueva entrada de directiva IPsec
En el siguiente ejemplo, el administrador agrega una clave compartida previamente a un sistema Solaris que no ejecuta la versin actual de Solaris. El administrador sigue el procedimiento anterior para modificar los archivos ike/config e ike., as como generar las claves y establecer contacto con el sistema remoto. El administrador utiliza comandos diferentes para leer la nueva directiva IPsec y las reglas IKE en el ncleo.
Antes de generar la nueva tecla, el administrador define el nivel de privilegios del daemon in.iked en 2.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Despus de enviar la tecla para el otro sistema y agregar la nueva tecla al sistema, el administrador reduce el nivel de privilegios.
# ikeadm set priv base
A continuacin, el administrador lee la nueva directiva IPsec en el ncleo.
616
# ipsecconf -a /etc/inet/ipsecinit.conf
Por ltimo, el administrador lee las nuevas reglas IKE en el ncleo.

# ikeadm read rules
Verificacin de que las claves IKE previamente compartidas sean idnticas

Si las claves previamente compartidas de los sistemas que se comunican no son idnticas, los sistemas no se podrn autenticar.
Antes de empezar
IPsec se ha configurado y se ha habilitado entre los dos sistemas que se estn probando. Se est ejecutando la versin Solaris 10 actual.
Nota Para llevar a cabo este procedimiento en una versin anterior a Solaris 10 4/09, consulte el
Ejemplo 232.
1
En cada sistema, compruebe el nivel de privilegios del daemon in.iked.

# svcprop -p config/admin_privilege ike base
Si el nivel de privilegios es keymat, contine con el Paso 3. Si el nivel de privilegios es base o modkeys, aumente su nivel. A continuacin, actualice el servicio ike y reincielo.
# svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat
617
Configuracin de IKE con certificados de clave pblica (mapa de tareas)
En cada sistema, visualice la informacin de claves previamente compartidas.

# ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb.../192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).
Compare los dos vaciados. Si las claves previamente compartidas no son idnticas, sustituya una de ellas con la otra en el archivo /etc/inet/secret/ike.preshared.
Cuando se haya completado la verificacin, devuelva al nivel de privilegios el valor predeterminado de cada sistema.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike
Configuracin de IKE con certificados de clave pblica (mapa de tareas)

La tabla siguiente incluye los procedimientos para crear certificados de clave pblica para IKE. Entre estos procedimientos se incluye cmo acelerar y guardar los certificados en el hardware conectado.
Configurar IKE con certificados de clave pblica autofirmados
Crea y coloca dos certificados en cada sistema: Un certificado autofirmado El certificado de clave pblica del sistema remoto
Cmo configurar IKE con certificados de clave pblica autofirmados en la pgina 619 Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626
Configurar IKE con una autoridad de certificacin de PKI
Crea una solicitud de certificado y coloca tres certificados en cada sistema: El certificado que crea la autoridad de certificacin a partir de su solicitud El certificado de clave pblica de la autoridad de certificacin La lista CRL de la autoridad de certificacin
618
Configuracin de IKE con certificados de clave pblica
Tarea
Descripcin
Configurar certificados de clave pblica en el hardware local
Implica una de estas acciones: Cmo generar y almacenar Generar un certificado autofirmado en el hardware certificados de clave pblica en el local y luego agregar la clave pblica de un sistema hardware en la pgina 631 remoto al hardware. Generar una solicitud de certificado en el hardware local y luego agregar los certificados de clave pblica de la autoridad de certificacin al hardware. Cmo administrar una lista de revocacin de certificados en la pgina 635
Actualizar la lista de revocacin de certificados (CRL) desde PKI
Accede a la CRL desde un punto de distribucin central.

Los certificados de clave pblica acaban con la necesidad de que los sistemas que se comunican compartan material de claves secreto fuera de banda. A diferencia de las claves previamente compartidas, un certificado de clave pblica se puede utilizar en un equipo porttil o en un sistema cuya numeracin podra cambiar. Los certificados de clave pblica tambin podran guardarse en el hardware conectado. Para conocer el procedimiento, consulte Configuracin de IKE para buscar el hardware conectado (mapa de tareas) en la pgina 646.
Cmo configurar IKE con certificados de clave pblica autofirmados

Los certificados autofirmados requieren menos carga que los certificados pblicos de una autoridad de certificacin, pero no se escalan fcilmente.
619
Agregue un certificado autofirmado a la base de datos ike.privatekeys.

# ikecert certlocal -ks|-kc -m keysize -t keytype \ -D dname -A altname \ [-S validity-start-time] [-F validity-end-time] [-T token-ID]
-ks -kc
Crea un certificado autofirmado. Crea una solicitud de certificado. Para conocer el procedimiento, consulte Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626. Es el tamao de la clave. Tamao_clave puede ser 512, 1024, 2048, 3072 o 4096. Especifica el tipo de algoritmo que utilizar. Tipo_algoritmo puede ser rsa-sha1, rsa-md5 o dsa-sha1. Es el nombre X.509 distinguido para el tema del certificado. Nombre_d suele tener el formato siguiente: C=country (pas), O=organization (organizacin=, OU=organizational unit (unidad organizativa), CN=common name (nombre comn). Las etiquetas vlidas son C, O, OU y CN. Nombre alternativo del certificado. Nombre_alt tiene el formato tag=value. Las etiquetas vlidas son IP, DNS, email y DN. Proporciona un tiempo de inicio de validez absoluto o relativo para el certificado. Proporciona un tiempo de fin de validez absoluto o relativo para el certificado. Permite al token de hardware PKCS #11 generar las claves. Los certificados se guardan en el hardware.
-m tamao_clave -t tipo_clave -D nombre_d
-A nombre_alt -S tiempo_inicio_validez -F tiempo_fin_validez -T ID_token
a. Por ejemplo, el comando del sistema partym sera como el siguiente:

# ikecert certlocal -ks -m 1024 -t rsa-md5 \ -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ -A IP=192.168.13.213 Creating software private keys. Writing private key to file /etc/inet/secret/ike.privatekeys/0. Enabling external key providers - done. Acquiring private keys for signing - done. Certificate: Proceeding with the signing operation. Certificate generated successfully (.../publickeys/0) Finished successfully. Certificate added to database. -----BEGIN X509 CERTIFICATE-----
620
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX ... 6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU -----END X509 CERTIFICATE-----
b. El comando del sistema enigma sera como el siguiente:

# ikecert certlocal -ks -m 1024 -t rsa-md5 \ -D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \ -A IP=192.168.116.16 Creating software private keys. ... Certificate added to database. -----BEGIN X509 CERTIFICATE----MIICKDCCAZGgAwIBAgIBATANBgkqhkiG9w0BAQQFADBJMQswCQYDVQQGEwJVUzEV ... jpxfLM98xyFVyLCbkr3dZ3Tvxvi732BXePKF2A== -----END X509 CERTIFICATE----3
Guarde el certificado y envelo al sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico. a. Por ejemplo, enviara el siguiente certificado de partym al administrador de enigma:
To: admin@ja.enigmaexample.com From: admin@us.partyexample.com Message: -----BEGIN X509 CERTIFICATE----MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX ... 6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU -----END X509 CERTIFICATE-----
b. El administrador de enigma enviara el siguiente certificado de enigma:

To: admin@us.partyexample.com From: admin@ja.enigmaexample.com Message: -----BEGIN X509 CERTIFICATE----MIICKDCCAZGgAwIBAgIBATANBgkqhkiG9w0BAQQFADBJMQswCQYDVQQGEwJVUzEV ... jpxfLM98xyFVyLCbkr3dZ3Tvxvi732BXePKF2A== -----END X509 CERTIFICATE----4
En cada sistema, agregue el certificado que reciba. a. Copie la clave pblica del correo electrnico del administrador.
621
b. Escriba el comando ikecert certdb -a y pulse la tecla Intro. Al pulsar Intro no aparecer ningn mensaje.
# ikecert certdb -a Press the Return key
c. Pegue la clave pblica. A continuacin, pulse la tecla Intro. Para finalizar la entrada, pulse Control+D.
-----BEGIN X509 CERTIFICATE----MIIC... ... ----END X509 CERTIFICATE----<Control>-D 5
Press the Return key
Verifique con el otro administrador que el certificado proceda de dicho administrador. Por ejemplo, puede llamar por telfono al otro administrador para comparar los valores de hash de clave pblica. El hash de clave pblica del certificado compartido debe ser idntico en los dos sistemas. a. Enumere el certificado guardado en su sistema. Por ejemplo, en el sistema partym, el certificado pblico se encuentra en la ranura 1 y el certificado privado se encuentra en la ranura 0.
partym # ikecert certdb -l Certificate Slot Name: 0 Type: rsa-md5 Private Key Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym> Key Size: 1024 Public key hash: B2BD13FCE95FD27ECE6D2DCD0DE760E2 Certificate Slot Name: 1 Type: rsa-md5 Public Certificate (Private key in certlocal slot 0) Points to certificate's private key Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax> Key Size: 1024 Public key hash: 2239A6A127F88EE0CB40F7C24A65B818
b. Compare este valor con el hash de clave pblica del sistema enigma. El hash de clave pblica se puede comunicar por telfono.
enigma # ikecert certdb -l Certificate Slot Name: 4 Type: rsa-md5 Private Key Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax> Key Size: 1024 Public key hash: DF3F108F6AC669C88C6BD026B0FCE3A0 Certificate Slot Name: 5 Type: rsa-md5 Public Certificate (Private key in certlocal slot 4) Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym> Key Size: 1024
622
Public key hash: 2239A6A127F88EE0CB40F7C24A65B818 6
En cada sistema, confe en ambos certificados. Edite el archivo /etc/inet/ike/config para reconocer los certificados. El administrador del sistema remoto proporciona los valores para los parmetros cert_trust, remote_addr y remote_id. a. Por ejemplo, en el sistema partym, el archivo ike/config tendra el siguiente aspecto:
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert # Verified # Verified cert_trust cert_trust remote address and remote ID public key hash per telephone call from administrator "192.168.13.213" Local system's certificate Subject Alt Name "192.168.116.16" Remote system's certificate Subject Alt Name
## Parameters that may also show up in rules. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 5 { label "US-partym to JA-enigmax" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
b. En el sistema enigma, agregue los valores de enigma para los parmetros locales en el archivo ike/config. Para los parmetros remotos, utilice los valores de partym. Asegrese de que el valor de la palabra clave label sea nico. Este valor debe ser diferente del valor label del sistema remoto.
... { label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
623
remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 ...
Ejemplo 234
Verificacin de la validez de un certificado procedente de otro administrador

En este ejemplo, los administradores recurren al nombre del asunto para verificar que los certificados sean idnticos. El primer administrador guarda la salida de la generacin y hace constar el certificado en un archivo. Debido a que la salida del comando ikecert imprime un error estndar, el administrador redirige el error estndar al archivo.
sys1# cd / sys1# ikecert certlocal -ks -m1024 -t rsa-md5 \ -D"C=US, O=TestCo, CN=Co2Sys" 2>/tmp/for_co2sys Certificate added to database. sys1# ikecert certdb -l "C=US, O=TestCo, CN=Co2Sys" 2>>/tmp/for_co2sys
El administrador verifica el contenido del archivo.

sys1# cat /tmp/for_co2sys Creating private key. -----BEGIN X509 CERTIFICATE----MIIB7TCCAVagAwIBAgIEZkHfOTANBgkqhkiG9w0BAQQFADAxMQwwCgYDVQQGEwNV U0ExEDAOBgNVBAoMB3Rlc3RfY28xDzANBgNVBAMTBkVuaWdtYTAeFw0wODAxMTUx OTI1MjBaFw0xMjAxMTUxOTI1MjBaMDExDDAKBgNVBAYTA1VTQTEQMA4GA1UECgwH dGVzdF9jbzEPMA0GA1UEAxMGRW5pZ21hMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB iQKBgQCPxGv0rUzHMnFtkx9uwYuPiWbftmWfa9iDt6ELOEuw3zlboy2qtuRUZohz FIbCxAJevdCY6a+pktvYy3/2nJL0WATObO5T0FKn3F0bphajinLYbyCrYhEzD9E2 gkiT2D9/ttbSiMvi9usphprEDcLAFaWgCJiHnKPBEkjC0vhA3wIDAQABoxIwEDAO BgNVHQ8BAf8EBAMCBaAwDQYJKoZIhvcNAQEEBQADgYEAL/q6xgweylGQylqLCwzN 5PIpjfzsNPf3saTyh3VplwEOW6WTHwRQT17IO/1Oc6Jnz9Mr0ZrbHWDXq+1sx180 F8+DMW1Qv1UR/lGMq3ufDG3qedmSN6txDF8qLlPCUML0YL8m4oGdewqGb+78aPyE Y/cJRsK1hWbYyseqcIkjj5k= -----END X509 CERTIFICATE----Certificate Slot Name: 2 Key Type: rsa (Private key in certlocal slot 2) Subject Name: <C=US, O=TestCo, CN=Co2Sys> Key Size: 1024 Public key hash: C46DE77EF09084CE2B7D9C70479D77FF
A continuacin, el administrador enva el archivo al segundo administrador por correo electrnico.
624
El segundo administrador coloca el archivo en un directorio seguro e importa el certificado del archivo.
sys2# cd / sys2# ikecert certdb -a < /sec/co2sys
El comando ikecert importa nicamente el texto que hay entre las lneas -----BEGIN y -----END. El administrador verifica que el certificado local tenga el mismo valor hash de clave pblica quel valor hash de clave pblica que haya en el archivo co2sys.
sys2# ikecert certdb -l Certificate Slot Name: 1 Key Type: rsa (Private key in certlocal slot 1) Subject Name: <C=US, O=TestCo, CN=Co2Sys> Key Size: 1024 Public key hash: C46DE77EF09084CE2B7D9C70479D77FF
Para asegurarse de que el primer administrador enve este correo electrnico, el segundo administrador telefonea al primero para verificar el nombre del asunto del certificado.
Ejemplo 235
Especificacin de un tiempo de inicio y un tiempo de fin para un certificado

En este ejemplo, el administrador del sistema partym establece las fechas durante las cuales el certificado es vlido. El certificado ser anterior en dos das y medio, y ser vlido para 4 aos y 6 meses a partir de la fecha de creacin.
# ikecert certlocal -ks -m 1024 -t rsa-md5 \ -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ -A IP=192.168.13.213 \ -S -2d12h -F +4y6m
El administrador del sistema enigma establece las fechas para la validez del certificado. El certificado ser anterior en dos das y ser vlido hasta las 12 de la noche del 31 de diciembre de 2010.
# ikecert certlocal -ks -m 1024 -t rsa-md5 \ -D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \ -A IP=192.168.116.16 \ -S -2d -F "12/31/2010 12:00 AM"
625
Cmo configurar IKE con certificados firmados por una autoridad de certificacin
Los certificados pblicos de una autoridad de certificacin requieren negociar con una organizacin externa. Los certificados se pueden escalar con gran facilidad para proteger un mayor nmero de sistemas que se comunican.
Utilice el comando ikecert certlocal -kc para crear una solicitud de certificado. Para ver una descripcin de los argumentos del comando, consulte el Paso 2 en Cmo configurar IKE con certificados de clave pblica autofirmados en la pgina 619.
# ikecert certlocal -kc -m keysize -t keytype \ -D dname -A altname
a. Por ejemplo, el comando siguiente crea una solicitud de certificado en el sistema partym:
# ikecert certlocal -kc -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" \ > -A "DN=C=US, O=PartyCompany\, Inc., OU=US-Partym" Creating software private keys. Writing private key to file /etc/inet/secret/ike.privatekeys/2. Enabling external key providers - done. Certificate Request: Proceeding with the signing operation. Certificate request generated successfully (.../publickeys/0) Finished successfully. -----BEGIN CERTIFICATE REQUEST----MIIByjCCATMCAQAwUzELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEV4YW1wbGVDb21w ... lcM+tw0ThRrfuJX9t/Qa1R/KxRlMA3zckO80mO9X -----END CERTIFICATE REQUEST-----
626
b. El comando siguiente crea una solicitud de certificado en el sistema enigma:

# ikecert certlocal -kc -m 1024 -t rsa-md5 \ > -D "C=JA, O=EnigmaCo\, Inc., OU=JA-Enigmax, CN=Enigmax" \ > -A "DN=C=JA, O=EnigmaCo\, Inc., OU=JA-Enigmax" Creating software private keys. ... Finished successfully. -----BEGIN CERTIFICATE REQUEST----MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu ... 8qlqdjaStLGfhDOO -----END CERTIFICATE REQUEST----3
Enve la solicitud de certificado a una organizacin de PKI. La organizacin de PKI puede indicar cmo enviar la solicitud de certificado. La mayora de las organizaciones cuenta con un sitio web con un formulario de envo. El formulario requiere una prueba de que el envo es legtimo. Normalmente, la solicitud de certificado se pega en el formulario. Cuando la organizacin ha comprobado la solicitud, emite los dos objetos de certificado siguientes y una lista de los certificados revocados:
El certificado de clave pblica: este certificado se basa en la solicitud que ha enviado a la organizacin. La solicitud que enva forma parte del certificado de clave pblica. El certificado le identifica de forma exclusiva. Una autoridad de certificacin: la firma de la organizacin. La autoridad de certificacin verifica que el certificado de clave pblica sea legtimo. Una lista de revocacin de certificados (CRL): La lista de certificados ms reciente que ha revocado la organizacin. La CRL no se enva por separado como objeto de certificado si el acceso a la CRL est integrado en el certificado de clave pblica. Cuando un URI para la CRL est integrado en el certificado de clave pblica, IKE puede recuperar automticamente la CRL. De modo similar, cuando una entrada DN (nombre de directorio en servidor LDAP) se integra en el certificado de clave pblica, IKE puede recuperar la CRL y almacenarla en cach desde un servidor LDAP que se especifique. Consulte Cmo administrar una lista de revocacin de certificados en la pgina 635 para ver un ejemplo de URI integrado y una entrada DN integrada en un certificado de clave pblica.
Agregue cada certificado al sistema. La opcin -a de ikecert certdb -a agrega el objeto pegado a la base de datos de certificados pertinente del sistema. Para ms informacin, consulte IKE con certificados de claves pblicas en la pgina 601. a. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario.
627
b. Agregue el certificado de clave pblica que ha recibido de la organizacin de PKI.

# ikecert certdb -a Press the Return key Paste the certificate: -----BEGIN X509 CERTIFICATE----... -----END X509 CERTIFICATE---Press the Return key <Control>-D
c. Agregue la autoridad de certificacin de la organizacin de PKI.

# ikecert certdb -a Press the Return key Paste the CA: -----BEGIN X509 CERTIFICATE----... -----END X509 CERTIFICATE---Press the Return key <Control>-D
d. Si la organizacin de PKI ha enviado una lista de certificados revocados, agregue la CRL a la base de datos certrldb:
# ikecert certrldb -a Press the Return key Paste the CRL: -----BEGIN CRL----... -----END CRL---Press the Return key <Control>-D 5
Utilice la palabra clave cert_root para identificar la organizacin de PKI en el archivo /etc/inet/ike/config. Utilice el nombre que proporciona la organizacin de PKI. a. Por ejemplo, el archivo ike/config del sistema partym podra ser similar a:
# Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" ## Parameters that may also show up in rules. p1_xform
628
{ auth_method rsa_sig oakley_group 1 auth_alg sha1 encr_alg des } p2_pfs 2 { label "US-partym to JA-enigmax - Example PKI" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
Nota Todos los argumentos del parmetro auth_method deben encontrarse en la misma
lnea. b. En el sistema enigma, cree un archivo similar. En concreto, el archivo enigma ike/config llevar a cabo las siguientes acciones:

Incluir el mismo valor de cert_root. Utilizar los valores de enigma para los parmetros locales. Utilice los valores de partym para los parmetros remotos. Cree un valor nico para la palabra clave label. Este valor debe ser diferente del valor label del sistema remoto.
... cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" ... { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 ...
629
Indique a IKE cmo administrar las CRL. Elija la opcin adecuada:
Ninguna CRL disponible Si la organizacin de PKI no proporciona ninguna CRL, agregue la palabra clave ignore_crls al archivo ike/config.
# Trusted root cert ... cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example,... ignore_crls ...
La palabra clave ignore_crls indica a IKE que no debe buscar ninguna CRL.
CRL disponible Si la organizacin de PKI proporciona un punto de distribucin central para las CRL, puede modificar el archivo ike/config para que haga referencia a esa ubicacin. Consulte Cmo administrar una lista de revocacin de certificados en la pgina 635 para ver algunos ejemplos.
Ejemplo 236
Uso de rsa_encrypt durante la configuracin de IKE

Cuando utiliza auth_method rsa_encrypt en el archivo ike/config, debe agregar el certificado equivalente a la base de datos publickeys. 1. Enve el certificado al administrador del sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico. Por ejemplo, el administrador de partym enviara el siguiente mensaje de correo electrnico:
To: admin@ja.enigmaexample.com From: admin@us.partyexample.com Message: -----BEGIN X509 CERTIFICATE----MII... ----END X509 CERTIFICATE-----
El administrador de enigma enviara el siguiente mensaje de correo electrnico:

To: admin@us.partyexample.com From: admin@ja.enigmaexample.com Message: -----BEGIN X509 CERTIFICATE----MII ... -----END X509 CERTIFICATE-----
630
2. En cada sistema, agregue el certificado enviado por correo electrnico a la base de datos publickeys local.
# ikecert certdb -a Press the Return key -----BEGIN X509 CERTIFICATE----MII... -----END X509 CERTIFICATE----Press the Return key <Control>-D
El mtodo de autenticacin para el cifrado de RSA oculta las identidades de IKE de los intrusos. Dado que el mtodo rsa_encrypt oculta la identidad del equivalente, IKE no puede recuperar su certificado. Como consecuencia de ello, el mtodo rsa_encrypt requiere que los equivalentes de IKE conozcan las claves pblicas el uno del otro. Por tanto, si utiliza un auth_method de rsa_encrypt en el archivo /etc/inet/ike/config, debe agregar el certificado del equivalente a la base de datos publickeys. La base de datos publickeys incluye tres certificados para cada par de sistemas que se comunican:

Su certificado de clave pblica El certificado de la administracin de certificacin El certificado de clave pblica del equivalente
Resolucin de problemas: La carga til de IKE, que incluye los tres certificados, puede ser demasiado grande para que la cifre rsa_encrypt. Errores como un fallo de autenticacin o una carga til mal formada pueden indicar que el mtodo rsa_encrypt no puede cifrar la carga til total. Reduzca el tamao de la carga til utilizando un mtodo que requiera nicamente dos certificados, por ejemplo rsa_sig.
Cmo generar y almacenar certificados de clave pblica en el hardware

La generacin y el almacenamiento de certificados de clave pblica en hardware es similar a la generacin y el almacenamiento de certificados de clave pblica en el sistema. En el hardware, los comandos ikecert certlocal e ikecert certdb deben identificar el hardware. La opcin -T con el ID de smbolo identifica el hardware para los comandos.
Antes de empezar
El hardware debe estar configurado. El hardware utiliza la biblioteca /usr/lib/libpkcs11.so, a menos que la palabra clave pkcs11_path del archivo /etc/inet/ike/config haga referencia a una biblioteca distinta. La biblioteca debe implementarse de acuerdo con el estndar siguiente: RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki), es decir, una biblioteca PKCS #11.
631
Consulte Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000 en la pgina 648 para obtener instrucciones sobre la instalacin.
1
2
Genere un certificado autofirmado o una solicitud de certificado y especifique el ID de smbolo. Elija una de las siguientes opciones:
Nota La placa Sun Crypto Accelerator 4000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits.
Para un certificado autofirmado, utilice esta sintaxis.

# ikecert certlocal -ks -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ > -a -T dca0-accel-stor IP=192.168.116.16 Creating hardware private keys. Enter PIN for PKCS#11 token: Type user:password
El argumento para la opcin -T es el ID de smbolo de la placa Sun Crypto Accelerator 4000 conectada.
Para obtener una solicitud de certificado, utilice esta sintaxis.

# ikecert certlocal -kc -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ > -a -T dca0-accel-stor IP=192.168.116.16 Creating hardware private keys. Enter PIN for PKCS#11 token: Type user:password
Para ver una descripcin de los argumentos para el comando ikecert, consulte la pgina del comando man ikecert(1M).
632
Cuando se le solicite un PIN, escriba el usuario de Sun Crypto Accelerator 4000, dos puntos y la contrasea del usuario. Si la placa de Sun Crypto Accelerator 4000 tiene un usuario ikemgr cuya contrasea es rgm4tigt, debe escribir:
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
Nota La respuesta de PIN se guarda en el disco como texto sin cifrar.
Una vez indicada la contrasea, se imprime el certificado:

Enter PIN for PKCS#11 token: ikemgr:rgm4tigt -----BEGIN X509 CERTIFICATE----MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu ... oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE----4
Enve su certificado para que lo pueda utilizar la otra parte. Elija una de las siguientes opciones:
Enve el certificado autofirmado al sistema remoto. El certificado se puede pegar en un mensaje de correo electrnico. Enve la solicitud de certificado a una organizacin que administre PKI. Siga las instrucciones de la administracin de PKI para enviar la solicitud de certificado. Para obtener informacin ms detallada, consulte el Paso 3 de Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626.
En el sistema, edite el archivo /etc/inet/ike/config para que reconozca los certificados. Elija una de las siguientes opciones.
Certificado autofirmado Utilice los valores que proporciona el administrador del sistema remoto para los parmetros cert_trust, remote_id y remote_addr. Por ejemplo, en el sistema enigma, el archivo ike/config sera similar a:
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert cert_trust "192.168.116.16" cert_trust "192.168.13.213" Local system's certificate Subject Alt Name Remote system's certificate Subject Alt name
633
# Solaris 10 1/06 release: default path does not have to be typed in #pkcs11_path "/usr/lib/libpkcs11.so" Hardware connection # Solaris 10 release: use this path #pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so" ... { label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
Solicitud de certificado Escriba el nombre que proporciona la organizacin de PKI como valor para la palabra clave cert_root. Por ejemplo, el archivo ike/config del sistema enigma podra ser similar a:
# Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" # Solaris 10 1/06 release: default path does not have to be typed in #pkcs11_path "/usr/lib/libpkcs11.so" Hardware connection # Solaris 10 release: use this path #pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so" ... { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes} }
634
Coloque los certificados de la otra parte en el hardware. Responda a la solicitud de PIN del mismo modo que en el Paso 3.
Nota Debe agregar los certificados de clave pblica al mismo hardware conectado que gener la
clave privada.
Certificado autofirmado. Agregue el certificado autofirmado al sistema remoto. En este ejemplo, el certificado se guarda en el archivo, DCA.ACCEL.STOR.CERT.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password
Si el certificado autofirmado utiliz rsa_encrypt como valor para el parmetro auth_method, agregue el certificado del equivalente al hardware.
Certificados de una organizacin de PKI. Agregue el certificado que ha generado la organizacin a partir de la solicitud de certificado, y agregue la autoridad de certificacin.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT Enter PIN for PKCS#11 token: Type user:password
Para agregar una lista de revocacin de certificados (CRL) de la organizacin de PKI, consulte Cmo administrar una lista de revocacin de certificados en la pgina 635.
Cmo administrar una lista de revocacin de certificados

Una lista de revocacin de certificados (CRL) contiene certificados caducados o que suponen un peligro de una autoridad de certificacin. Existen cuatro modos de administrar las CRL.
Debe indicar a IKE que omita las CRL si la organizacin de la autoridad de certificacin no emite ninguna CRL. Esta opcin se muestra en el Paso 6 en Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626. Puede indicar a IKE que acceda a las CRL desde un indicador de recursos uniforme (URI) cuya direccin est integrada en el certificado de clave pblica de la autoridad de certificacin.
635
Puede indicar a IKE que acceda a las CRL desde un servidor LDAP cuya entrada de nombre de directorio (DN) est integrada en el certificado de clave pblica de la autoridad de certificacin. Puede proporcionar la CRL como argumento para el comando ikecert certrldb. Si desea ver un ejemplo, consulte el Ejemplo 237.
El siguiente procedimiento describe cmo indicar a IKE que utilice las CRL de un punto de distribucin central.
1
Visualice el certificado que ha recibido de la autoridad de certificacin.

# ikecert certdb -lv certspec
-l -v certspec
Enumera los certificados de la base de datos IKE. Enumera los certificados en modo detallado. Utilice esta opcin con precaucin. Es un patrn que coincide con un certificado de la base de datos de certificados IKE.
Por ejemplo, el certificado siguiente ha sido emitido por Sun Microsystems. Los detalles se han modificado.
# ikecert certdb -lv example-protect.sun.com Certificate Slot Name: 0 Type: dsa-sha1 (Private key in certlocal slot 0) Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com> Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> SerialNumber: 14000D93 Validity: Not Valid Before: 2002 Jul 19th, 21:11:11 GMT Not Valid After: 2005 Jul 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A...A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = example-protect.sun.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.sun.com/pki/pkismica.crl#i DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> CRL Issuer: Authority Key ID: Key ID: 4F ... 6B SubjectKeyID: A5 ... FD
636
Certificate Policies Authority Information Access
Observe la entrada CRL Distribution Points. La entrada URI indica que la CRL de esta organizacin est disponible en Internet. La entrada DN indica que la CRL est disponible en un servidor LDAP. Cuando IKE accede a la CRL, sta se almacena en cach para futuros usos. Para acceder a la CRL, debe alcanzar un punto de distribucin.
2
Elija uno de los mtodos siguientes para acceder a la CRL desde un punto de distribucin central.
Utilice el URI. Agregue la palabra clave use_http al archivo /etc/inet/ike/config del host. Por ejemplo, el archivo ike/config tendra el siguiente aspecto:
# Use CRL from organizations URI use_http ...
Utilice un proxy Web. Agregue la palabra clave proxy al archivo ike/config. La palabra clave proxy adopta una direccin URL como argumento, como en el caso siguiente:
# Use own web proxy proxy "http://proxy1:8080"
Utilice un servidor LDAP. Configure el servidor LDAP como argumento para la palabra clave ldap-list del archivo /etc/inet/ike/config del host. Su organizacin proporciona el nombre del servidor LDAP. La entrada del archivo ike/config tendra el siguiente aspecto:
# Use CRL from organizations LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" ...
IKE recupera la CRL y almacena en cach la CRL hasta que caduque el certificado.
Ejemplo 237
Cmo pegar una CRL en la base de datos certrldb local

Si la CRL de la organizacin de PKI no est disponible en un punto de distribucin central, puede agregar la CRL manualmente a la base de datos certrldb local. Siga las instrucciones de la organizacin de PKI para extraer la CRL en un archivo y, a continuacin, agregue la CRL a la base de datos con el comando ikecert certrldb -a.
# ikecert certrldb -a < Sun.Cert.CRL
637
Configuracin de IKE para sistemas porttiles (mapa de tareas)
Configuracin de IKE para sistemas porttiles (mapa de tareas)

La tabla siguiente incluye los procedimientos para configurar IKE para la administracin de sistemas que se registran remotamente en un sitio central.
Comunicar remotamente con un sitio central Utilizar un certificado root e IKE en un sistema central que acepta trfico de sistemas porttiles Utilizar un certificado root e IKE en un sistema que no tiene una direccin IP fija Utilizar certificados autofirmados e IKE en un sistema central que acepta trfico de sistemas porttiles Utilizar certificados autofirmados e IKE en un sistema que no tiene una direccin IP fija
Permite a los sistemas remotos comunicarse con un Cmo configurar IKE para sitio central. Los sistemas remotos pueden ser sistemas remotos porttiles. en la pgina 638 Configura un sistema de portal para que acepte el trfico de IPsec de un sistema que no tiene una direccin IP fija. Ejemplo 238
Configura un sistema porttil para proteger su Ejemplo 239 trfico en un sitio central, como la oficina central de una compaa. Configura un sistema de portal con certificados Ejemplo 2310 autofirmados para aceptar trfico de IPsec desde un sistema porttil. Configura un sistema porttil con certificados autofirmados para proteger su trfico en un sitio central. Ejemplo 2311
Configuracin de IKE para sistemas porttiles

Cuando se configuran correctamente, las oficinas domsticas y los porttiles pueden utilizar IPsec e IKE para comunicarse con los equipos centrales de la compaa. Una directiva IPsec general que se combina con un mtodo de autenticacin de claves pblicas permite a los sistemas remotos proteger su trfico en un sistema central.
Cmo configurar IKE para sistemas remotos

IPsec e IKE requieren un ID nico para identificar el origen y el destino. Para los sistemas remotos o porttiles que no tienen una direccin IP nica, debe utilizar otro tipo de ID. Los tipos de ID como DNS, DN o email se pueden utilizar para identificar a un sistema de forma exclusiva. Los sistemas remotos o porttiles que tienen direcciones IP exclusivas se siguen configurando mejor con un tipo de ID diferente. Por ejemplo, si los sistemas intentan conectarse a un sitio
638
central desde un encaminador NAT, no se utilizarn sus direcciones exclusivas. Un encaminador NAT asigna una direccin IP arbitraria, que el sistema central no reconocera. Las claves previamente compartidas tampoco funcionan bien como mecanismo de autenticacin para sistemas porttiles, dado que requieren direcciones IP fijas. Los certificados autofirmados o certificados desde un PKI permiten a los sistemas porttiles comunicarse con el sitio central.
1
En la consola del sistema central, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Configure el sistema central para que reconozca los sistemas porttiles. a. Configure el archivo /etc/hosts. El sistema central no tiene que reconocer las direcciones especficas para los sistemas porttiles.
# /etc/hosts on central central 192.xxx.xxx.x
b. Configure el archivo ipsecinit.conf. El sistema central necesita una directiva que permite una amplia gama de direcciones IP. Los certificados de la directiva IKE garantizan que los sistemas conectados son legtimos.
# /etc/inet/ipsecinit.conf on central # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
c. Configure el archivo ike.config. DNS identifica el sistema central. Se utilizan certificados para autenticar el sistema.
## /etc/inet/ike/ike.config on central # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI use_http #
# Use web proxy proxy "http://somecache.domain:port/" # # Use LDAP server ldap_server "ldap-server1.domain.org,ldap2.domain.org:port" # # List CA-signed certificates cert_root "C=US, O=Domain Org, CN=Domain STATE" # # List self-signed certificates - trust server and enumerated others #cert_trust "DNS=central.domain.org" #cert_trust "DNS=mobile.domain.org" #cert_trust "DN=CN=Domain Org STATE (CLASS), O=Domain Org #cert_trust "email=root@central.domain.org" #cert_trust "email=user1@mobile.domain.org" # # Rule for mobile systems with certificate { label "Mobile systems with certificate" local_id_type DNS # Any mobile system who knows my DNS or IP can find me. local_id "central.domain.org" local_addr 192.xxx.xxx.x # Root certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } 3
Inicie sesin en cada sistema porttil y configure el sistema para buscar el sistema central. a. Configure el archivo /etc/hosts. El archivo /etc/hosts no necesita una direccin para el sistema porttil, pero puede proporcionar una. El archivo debe contener una direccin IP pblica para el sistema central.
# /etc/hosts on mobile mobile 10.x.x.xx central 192.xxx.xxx.x
640
b. Configure el archivo ipsecinit.conf. El sistema porttil debe encontrar el sistema central por su direccin IP pblica. Los sistemas deben configurar la misma directiva IPsec.
# /etc/inet/ipsecinit.conf on mobile # Find central {raddr 192.xxx.xxx.x} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
c. Configure el archivo ike.config. El identificador no puede ser una direccin IP. Los siguientes identificadores son vlidos para sistemas porttiles:

DN=nombre_directorio_ldap DNS=direccin_servidor_nombre_dominio email=direccin_correo_electrnico
Se utilizan certificados para autenticar el sistema porttil.

## /etc/inet/ike/ike.config on mobile # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI use_http # # Use web proxy proxy "http://somecache.domain:port/" # # Use LDAP server ldap_server "ldap-server1.domain.org,ldap2.domain.org:port" # # List CA-signed certificates cert_root "C=US, O=Domain Org, CN=Domain STATE" # # Self-signed certificates - trust me and enumerated others #cert_trust "DNS=mobile.domain.org" #cert_trust "DNS=central.domain.org" #cert_trust "DN=CN=Domain Org STATE (CLASS), O=Domain Org #cert_trust "email=user1@domain.org" #cert_trust "email=root@central.domain.org" # # Rule for off-site systems with root certificate { label "Off-site mobile with certificate" local_id_type DNS # NAT-T can translate local_addr into any public IP address # central knows me by my DNS
local_id "mobile.domain.org" local_addr 0.0.0.0/0 # Find central and trust the root certificate remote_id "central.domain.org" remote_addr 192.xxx.xxx.x p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } } 4
Lea la configuracin de IKE en el ncleo.
A partir de la versin Solaris 10 4/09, habilite el servicio ike.

# svcadm enable svc:/network/ipsec/ike
Si est ejecutando una versin anterior a la Solaris 10 4/09, rearranque el sistema.

# init 6
Tambin puede detener e iniciar el daemon in.iked.

Ejemplo 238
Configuracin de un equipo para que acepte trfico IPsec de un sistema porttil

IKE puede iniciar negociaciones desde un encaminador NAT. Sin embargo, la configuracin de IKE ideal no incluye un encaminador NAT. En el ejemplo siguiente, una autoridad de certificacin ha emitido certificados root. Los certificados de la autoridad de certificacin se colocan en el sistema porttil y el sistema central. Un sistema central acepta las negociaciones de IPsec desde un sistema con un encaminador NAT. main1 es el sistema de la compaa que puede aceptar conexiones desde sistemas remotos. Para configurar los sistemas remotos, consulte el Ejemplo 239.
## /etc/hosts on main1 main1 192.168.0.100 ## /etc/inet/ipsecinit.conf on main1 # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on main1 # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI
642
use_http # # Use web proxy proxy "http://cache1.domain.org:8080/" # # Use LDAP server ldap_server "ldap1.domain.org,ldap2.domain.org:389" # # List CA-signed certificate cert_root "C=US, O=ExamplePKI Inc, OU=PKI-Example, CN=Example PKI" # # Rule for off-site systems with root certificate { label "Off-site system with root certificate" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # Root certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method p1_xform {auth_method p1_xform {auth_method p1_xform {auth_method }
rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1} rsa_sig oakley_group 5 encr_alg aes auth_alg sha1} rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1} rsa_sig oakley_group 5 encr_alg aes auth_alg sha1}
Ejemplo 239
Configuracin de un sistema con una NAT con IPsec

En el ejemplo siguiente, una autoridad de certificacin ha emitido certificados root y los ha colocado en el sistema porttil y el sistema central. mobile1 se conecta a la oficina central de la compaa desde casa. La red del proveedor de servicios de Internet (ISP) utiliza un encaminador NAT para permitir al ISP asignar a mobile1 una direccin privada. A continuacin, el encaminador convierte la direccin privada en una direccin IP pblica que comparte con otros nodos de red del ISP. La oficina central de la compaa no est detrs de un dispositivo NAT. Para configurar el sistema en las oficinas de la empresa, consulte el Ejemplo 238.
## /etc/hosts on mobile1 mobile1 10.1.3.3 main1 192.168.0.100 ## /etc/inet/ipsecinit.conf on mobile1 # Find main1 {raddr 192.168.0.100} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on mobile1 # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organizations URI use_http # # Use web proxy proxy "http://cache1.domain.org:8080/" # # Use LDAP server ldap_server "ldap1.domain.org,ldap2.domain.org:389" # # List CA-signed certificate cert_root "C=US, O=ExamplePKI Inc, OU=PKI-Example, CN=Example PKI" # # Rule for off-site systems with root certificate { label "Off-site mobile1 with root certificate" local_id_type DNS local_id "mobile1.domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the root certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } }
Ejemplo 2310
Aceptacin de certificados autofirmados de un sistema porttil

En el ejemplo siguiente, se han emitido certificados autofirmados y se encuentran en el sistema porttil y el sistema central. main1 es el sistema de la compaa que puede aceptar conexiones desde sistemas remotos. Para configurar los sistemas que no estn en las oficinas, consulte el Ejemplo 2311.
644
## /etc/hosts on main1 main1 192.168.0.100 ## /etc/inet/ipsecinit.conf on main1 # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on main1 # Global parameters # # Self-signed certificates - trust me and enumerated others cert_trust "DNS=main1.domain.org" cert_trust "jdoe@domain.org" cert_trust "user2@domain.org" cert_trust "user3@domain.org" # # Rule for off-site systems with trusted certificate { label "Off-site systems with trusted certificates" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # Trust the self-signed certificates # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } }
Ejemplo 2311
Uso de certificados autofirmados para contactar con un sistema central

En el ejemplo siguiente, mobile1 se conecta a la oficina central de la compaa desde casa. Los certificados se han emitido y se colocan en el sistema porttil y el sistema central. La red ISP utiliza un encaminador NAT para permitir al ISP asignar a mobile1 una direccin privada. A continuacin, el encaminador convierte la direccin privada en una direccin IP pblica que comparte con otros nodos de red del ISP. La oficina central de la compaa no est detrs de un dispositivo NAT. Para configurar el sistema en las oficinas de la empresa, consulte el Ejemplo 2310.
## /etc/hosts on mobile1 mobile1 10.1.3.3 main1 192.168.0.100
Configuracin de IKE para buscar el hardware conectado (mapa de tareas)
## /etc/inet/ipsecinit.conf on mobile1 # Find main1 {raddr 192.168.0.100} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} ## /etc/inet/ike/ike.config on mobile1 # Global parameters # Self-signed certificates - trust me and the central system cert_trust "jdoe@domain.org" cert_trust "DNS=main1.domain.org" # # Rule for off-site systems with trusted certificate { label "Off-site mobile1 with trusted certificate" local_id_type email local_id "jdoe@domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg blowfish auth_alg sha1 } }
Configuracin de IKE para buscar el hardware conectado (mapa de tareas)

La tabla siguiente incluye los procedimientos que indican a IKE el hardware conectado. Debe informar a IKE del hardware conectado para que pueda utilizarlo. Para utilizar el hardware, siga los procedimientos de Configuracin de IKE con certificados de clave pblica en la pgina 619.
Nota No tiene que informar a IKE sobre el hardware en chip. Por ejemplo, el procesador UltraSPARC T2 proporciona aceleracin criptogrfica. No es necesario configurar IKE para encontrar los aceleradores en chip.
646
Configuracin de IKE para buscar el hardware conectado
Tarea
Descripcin
Descargar operaciones de claves IKE en Vincula IKE con la biblioteca de PKCS #11. Cmo configurar IKE para buscar la placa de la placa de Sun Crypto Accelerator 1000 Sun Crypto Accelerator 1000 en la pgina 647 Descargar operaciones de claves IKE y almacenar las claves en la placa de Sun Crypto Accelerator 4000 Vincula IKE con la biblioteca de PKCS #11 Cmo configurar IKE para buscar la placa de e indica el nombre del hardware conectado. Sun Crypto Accelerator 4000 en la pgina 648

Los certificados de claves pblicas tambin se pueden almacenar en el hardware adjunto. La placa Sun Crypto Accelerator 1000 slo proporciona almacenamiento. Las placas Sun Crypto Accelerator 4000 y Crypto Accelerator 6000 de Sun proporcionan almacenamiento y permiten que se descarguen operaciones de claves pblicas desde el sistema a la placa.
Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 1000
El procedimiento siguiente presupone que hay una placa de Sun Crypto Accelerator 1000 conectada al sistema. Adems, el procedimiento presupone que se ha instalado y configurado el software para la placa. Para obtener instrucciones, consulte Sun Crypto Accelerator 1000 Board Version 2.0 Installation and Users Guide. En la consola del sistema, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Antes de empezar
Compruebe que est vinculada la biblioteca de PKCS #11. Escriba el comando siguiente para determinar si la biblioteca de PKCS #11 est vinculada:
# ikeadm get stats Phase 1 SA counts: Current: initiator: Total: initiator:
0 0
responder: responder:
0 0
647
Attempted: initiator: 0 responder: Failed: initiator: 0 responder: initiator fails include 0 time-out(s) PKCS#11 library linked in from /usr/lib/libpkcs11.so # 3
0 0
Solaris 10 1/06: A partir de esta versin, puede guardar las claves en el almacn de claves softtoken. Para obtener informacin sobre el almacn de claves que proporciona la estructura criptogrfica de Solaris, consulte la pgina del comando man cryptoadm(1M) Si desea ver un ejemplo del uso del almacn de claves, consulte el Example 2312.
Cmo configurar IKE para buscar la placa de Sun Crypto Accelerator 4000
El siguiente procedimiento presupone que hay una placa de Sun Crypto Accelerator 4000 conectada al sistema. Adems, el procedimiento presupone que se ha instalado y configurado el software para la placa. Para obtener instrucciones, consulte la Sun Crypto Accelerator 4000 Board Version 1.1 Installation and Users Guide. Si utiliza una placa Crypto Accelerator 6000 de Sun, consulte la Sun Crypto Accelerator 6000 Board Version 1.1 Users Guide para obtener instrucciones.
Antes de empezar
Compruebe que est vinculada la biblioteca de PKCS #11. IKE utiliza las rutinas de la biblioteca para administrar la generacin de claves y el almacenamiento de claves en la placa de Sun Crypto Accelerator 4000. Escriba el comando siguiente para determinar si se ha vinculado una biblioteca de PKCS #11:
$ ikeadm get stats ... PKCS#11 library linked in from /usr/lib/libpkcs11.so $
648
Nota La placa Sun Crypto Accelerator 4000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits. 3
Busque el ID de smbolo para la placa de Sun Crypto Accelerator 4000 conectada.

$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
La biblioteca devuelve un ID de smbolo, tambin denominado nombre de keystore, de 32 caracteres. En este ejemplo, puede utilizar el smbolo Sun Metaslot con los comandos ikecert para almacenar y acelerar claves IKE. Para obtener instrucciones sobre cmo utilizar el smbolo, consulte Cmo generar y almacenar certificados de clave pblica en el hardware en la pgina 631. Los espacios finales se rellenan automticamente con el comando ikecert.
Ejemplo 2312
Bsqueda y uso de smbolos de metarranura

Los smbolos se pueden almacenar en el disco, en una placa conectada o en el almacn de claves softtoken que proporciona la estructura de cifrado de Solaris. El ID de smbolo del almacn de claves softtoken podra ser similar al siguiente.
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
Para crear una contrasea para el almacn de claves softtoken, consulte la pgina del comando man pktool(1). Un comando como el siguiente agregara un certificado al almacn de claves softtoken. Sun.Metaslot.cert es un archivo que contiene un certificado de una autoridad de certificacin.
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
649
Cambio de los parmetros de transmisin de IKE (mapa de tareas)
Cambio de los parmetros de transmisin de IKE (mapa de tareas)

En la tabla siguiente se incluyen los procedimientos para configurar los parmetros de transmisin para IKE.
Hacer la negociacin de claves ms eficiente Cambia los parmetros de negociacin de claves. Configurar la negociacin de claves para permitir retrasos en la transmisin Configurar la negociacin de claves para proceder con rapidez si es correcta o para mostrar los fallos rpidamente Alarga los parmetros de negociacin de claves. Acorta los parmetros de negociacin de claves.
Cmo cambiar la duracin de la negociacin de claves IKE de fase 1 en la pgina 650 Ejemplo 2313 Ejemplo 2314
Cambio de los parmetros de transmisin de IKE

Cuando IKE negocia claves, la velocidad de transmisin puede afectar al xito de la negociacin. Normalmente, no necesita cambiar los valores predeterminados de los parmetros de transmisin de IKE. Sin embargo, al optimizar la negociacin de claves con lneas muy codificadas o al reproducir un problema, puede cambiar los valores de transmisin. Un tiempo ms prolongado permite a IKE negociar claves en lneas de transmisin poco fiables. Puede alargar determinados parmetros para que los intentos iniciales tengan xito. Si el intento inicial no tiene xito, puede espaciar los siguientes intentos para que haya ms tiempo. Un tiempo ms breve permite aprovechar las lneas de transmisin fiables. Puede reintentar una negociacin fallida con mayor rapidez para acelerar la negociacin. Al diagnosticar un problema, es posible que tambin desee acelerar la negociacin para un fallo rpido. Un tiempo ms breve tambin permite utilizar las SA de la fase 1.
Cmo cambiar la duracin de la negociacin de claves IKE de fase 1

650
2
Cambie los valores predeterminados de los parmetros de transmisin globales de cada sistema. En cada sistema, modifique los parmetros de duracin de la fase 1 del archivo /etc/inet/ike/config.
### ike/config file on system
## Global parameters # ## Phase 1 transform defaults # #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float)
expire_timer
Nmero de segundos que persistir una negociacin de IKE de fase 1 sin completar antes de eliminar el intento de negociacin. De modo predeterminado, el intento persiste durante 30 segundos. El nmero de retransmisiones antes de que se cancele cualquier negociacin de IKE. De modo predeterminado, hay cinco intentos de IKE. Intervalo inicial entre retransmisiones. Este intervalo se dobla hasta alcanzar el valor de retry_timer_max. El intervalo inicial es de 0,5 segundos. El intervalo mximo en segundos entre retransmisiones. El intervalo de retransmisin deja de aumentar una vez alcanzado este lmite. De modo predeterminado, el limite es de 30 segundos.
retry_limit
retry_timer_init
retry_timer_max
Lea la configuracin que ha cambiado en el ncleo.
A partir de la versin Solaris 10 4/09 actualice el ike.

# svcadm refresh svc:/network/ipsec/ike
Si est ejecutando una versin anterior a Solaris 10 4/09 rearranque el sistema.

# init 6
Tambin puede detener e iniciar el daemon in.iked.
651
Ejemplo 2313
Cmo alargar el tiempo de negociacin de IKE de fase 1

En el ejemplo siguiente, un sistema se conecta a sus equivalentes IKE mediante una lnea de transmisin de alta densidad de trfico. Los parmetros originales se encuentran en los comentarios del archivo. Los nuevos parmetros alargan el tiempo de negociacin.
### ike/config file on partym ## Global Parameters # ## Phase 1 transform defaults #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float) # expire_timer 600 retry_limit 10 retry_timer_init 2.5 retry_timer_max 180
Ejemplo 2314
Cmo acortar el tiempo de negociacin de IKE de fase 1

En el ejemplo siguiente, un sistema se conecta a sus equivalentes IKE mediante una lnea de alta velocidad con poca densidad de trfico. Los parmetros originales se encuentran en los comentarios del archivo. Los nuevos parmetros acortan el tiempo de negociacin.
### ike/config file on partym ## Global Parameters # ## Phase 1 transform defaults #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float) # expire_timer 120 retry_timer_init 0.20
652
C A P T U L O
Intercambio de claves de Internet (referencia)
24
2 4
Este captulo contiene la siguiente informacin de referencia sobre IKE:

Utilidad de gestin de servicios de IKE en la pgina 653 Daemon IKE en la pgina 654 Archivo de directiva IKE en la pgina 654 Comando de administracin de IKE en la pgina 655 Archivos de claves IKE previamente compartidas en la pgina 656 Comandos y bases de datos de claves pblicas IKE en la pgina 656
Para obtener instrucciones sobre la implementacin de IKE, consulte el Captulo 23, Configuracin de IKE (tareas). Para obtener informacin general, consulte el Captulo 22, Intercambio de claves de Internet (descripcin general).
Utilidad de gestin de servicios de IKE

svc:/network/ipsec/ike:default servicio la utilidad de administracin de servicios (SMF) proporciona el servicio ike para administrar IKE. Por defecto, este servicio est inhabilitado. Antes de habilitar este servicio, debe crear un archivo de configuracin IKE, archivo /etc/inet/ike/config. las siguientes propiedades del servicio ike son configurables:
Propiedad config_file es la ubicacin del archivo de configuracin IKE. El valor inicial es /etc/inet/ike/config. Propiedad debug level es el nivel de depuracin del daemon in.iked. El valor inicial es op u operativos. Para ver los posibles valores, consulte la tabla de niveles de depuracin en Object Types en la pgina de comando man ikeadm(1M). Propiedad admin_privilege es el nivel de privilegio del daemon in.iked. El valor inicial es base. Otros valores son modkeys y keymat. Para obtener ms detalles, consulte Comando de administracin de IKE en la pgina 655.
653
Daemon IKE
Para obtener ms informacin sobre SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte tambin las pginas de comando man smf(5),svcadm(1M) y svccfg(1M).
Daemon IKE
El daemon in.iked automatiza la administracin de claves criptogrficas para IPsec en un sistema Solaris. El daemon negocia con un sistema remoto que ejecuta el mismo protocolo para proporcionar materiales de claves autenticados para las asociaciones de seguridad de forma protegida. El daemon debe ejecutarse en todos los sistemas que tienen previsto comunicarse de forma segura. Por defecto, el servicio svc:/network/ipsec/ike:default servicio no est habilitado. Despus de que se haya configurado el archivo /etc/inet/ike/config y se haya habilitado el servicio ike, el daemon in.iked se ejecuta con el arranque del sistema. Al ejecutar el daemon IKE, el sistema se autentica automticamente en su entidad IKE equivalente en el intercambio de fase 1. El equivalente se define en el archivo de directiva IKE, al igual que los mtodos de autenticacin. A continuacin, el daemon establece las claves para el intercambio de fase 2. Las claves IKE se actualizan automticamente a un intervalo especificado en el archivo de directiva. El daemon in.iked escucha las solicitudes IKE entrantes de la red y las solicitudes del trfico saliente mediante el socket PF_KEY. Para ms informacin, consulte la pgina del comando man pf_key(7P). Dos comandos admiten el daemon IKE. El comando ikeadm puede utilizarse para ver y modificar temporalmente la directiva IKE. Para modificar permanentemente la directiva IKE, puede modificar las propiedades del servicio ike. Si desea conocer el procedimiento, consulte Cmo ver las claves IKE previamente compartidas en la pgina 612. El comando ikecert permite ver y administrar las bases de datos de claves pblicas. Este comando administra las bases de datos locales, ike.privatekeys y publickeys . Este comando tambin administra operaciones de claves pblicas y el almacenamiento de las claves pblicas en el hardware.
Archivo de directiva IKE

El archivo de configuracin para la directiva IKE, /etc/inet/ike/config , administra las claves para las interfaces que est protegiendo el archivo de directiva IPsec, /etc/inet/ipsecinit.conf. El archivo de directiva IKE administra claves para IKE y para las asociaciones de seguridad de IPsec. El daemon IKE requiere material de claves en el intercambio de fase 1. La administracin de claves con IKE incluye reglas y parmetros globales. Una regla IKE identifica los sistemas o redes que protege el material de claves. La regla tambin especifica el mtodo de autenticacin. Los parmetros globales incluyen elementos como la ruta a un
Comando de administracin de IKE
acelerador de hardware conectado. Para ver ejemplos de los archivos de directiva IKE, consulte Configuracin de IKE con claves previamente compartidas (mapa de tareas) en la pgina 606. Para ver ejemplos y descripciones de las entradas de directiva IKE, consulte la pgina del comando man ike.config(4). Las asociaciones de seguridad de IPsec que admite IKE protegen los datagramas IP de acuerdo con las directivas que se establecen en el archivo de configuracin para la directiva IPsec, /etc/inet/ipsecinit.conf. El archivo de directiva IKE determina si se utiliza la seguridad directa perfecta (PFS) al crear las asociaciones de seguridad de IPsec. El archivo ike/config puede incluir la ruta a una biblioteca que se implementa de acuerdo con el estndar siguiente: Interfaz de seal criptogrfica RSA Security Inc. PKCS #11 (Cryptoki). IKE utiliza esta biblioteca de PKCS #11 con tal de acceder al hardware para la aceleracin de claves y el almacenamiento de claves. Las consideraciones de seguridad del archivo ike/config son similares a las consideraciones del archivo ipsecinit.conf. Para obtener ms informacin, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf en la pgina 590.
Comando de administracin de IKE

Puede utilizar el comando ikeadm para:

Ver aspectos del proceso del daemon IKE. Cambiar los parmetros que se transfieren al daemon IKE. Ver estadsticas sobre la creacin de asociaciones de seguridad durante el intercambio de fase 1. Depurar procesos de IKE. Ver aspectos del estado de IKE. Cambiar las propiedades del daemon IKE. Ver estadsticas sobre la creacin de asociaciones de seguridad durante el intercambio de fase 1. Depurar los intercambios del protocolo IKE.
Para ver ejemplos y una descripcin completa de las opciones de este comando, consulte la pgina del comando man ikeadm(1M) El nivel de privilegio del daemon IKE en ejecucin determina qu aspectos del daemon IKE pueden verse y modificarse. Hay tres niveles de privilegio posibles. Nivel Base Nivel modkeys No puede ver ni modificar el material de claves. El nivel base es el nivel de privilegio predeterminado. Puede eliminar, cambiar y agregar claves previamente compartidas.
655
Captulo 24 Intercambio de claves de Internet (referencia)
Archivos de claves IKE previamente compartidas
Nivel keymat
Puede ver el material de claves real con el comando ikeadm.
Si desea un cambio en un privilegio temporal, puede utilizar el comando ikeadm. Para un cambio permanente, cambie la propiedad admin_privilege del servicio ike. Si desea conocer el procedimiento, consulte Cmo administrar servicios de IPsec e IKE en la pgina 547. Las consideraciones de seguridad del comando ikeadm son similares a las consideraciones del comando ipseckey. Para ms detalles, consulte Consideraciones de seguridad para ipseckey en la pgina 592.
Archivos de claves IKE previamente compartidas

Al crear manualmente claves previamente compartidas, las claves se almacenan en archivos del directorio /etc/inet/secret. El archivo ike.preshared contiene las claves previamente compartidas para las asociaciones de seguridad del protocolo de administracin de claves y asociaciones de seguridad de Internet (ISAKMP). El archivo ipseckeys contiene las claves previamente compartidas para las asociaciones de seguridad de IPsec. Los archivos se protegen en 0600. El directorio secret se protege en 0700.
El archivo ike.preshared se crea al configurar el archivo ike/config para que requiera claves previamente compartidas. El material de claves se especifica para las asociaciones de seguridad de ISAKMP, es decir, para la autenticacin IKE en el archivo ike.preshared. Dado que se utilizan claves previamente compartidas para autenticar el intercambio de fase 1, el archivo debe ser vlido antes de iniciar el daemon in.iked. El archivo ipseckeys contiene el material de claves para las asociaciones de seguridad de IPsec. Para ver ejemplos de la administracin manual del archivo, consulte Cmo crear manualmente asociaciones de seguridad IPsec en la pgina 539. El daemon IKE no utiliza este archivo. El material de claves que genera IKE para las asociaciones de seguridad de IPsec se almacena en el ncleo.
Nota Las claves previamente compartidas no pueden utilizar el almacenamiento de hardware. Las claves previamente compartidas se generan y almacenan en el sistema.
Comandos y bases de datos de claves pblicas IKE

El comando ikecert administra las bases de datos de claves pblicas del sistema local. Este comando se utiliza cuando el archivo ike/config requiere certificados de claves pblicas. Dado que IKE utiliza estas bases de datos para autenticar el intercambio de fase 1, las bases de datos deben rellenarse antes de activar el daemon in.iked. Existen tres subcomandos que administran las tres bases de datos: certlocal, certdb y certrldb.
656
El comando ikecert tambin administra el almacenamiento de claves. Las claves se pueden almacenar en disco, en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun, o bien en un almacn de claves softtoken. El almacn de claves softtoken est disponible cuando la metarranura de la estructura criptogrfica de Solaris se utilice para comunicarse con el dispositivo de hardware. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de claves.
Solaris 10 1/06: A partir de esta versin, no es preciso especificar la biblioteca. De modo predeterminado, la biblioteca PKCS #11 es /usr/lib/libpkcs11.so. Solaris 10: en esta versin, debe especificarse la entrada PKCS #11. De lo contrario, la opcin -T del comando ikecert no funcionar. La entrada tiene el siguiente aspecto:
pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
Para obtener ms informacin, consulte la pgina del comando man ikecert(1M) Para obtener informacin sobre la metarranura y el almacn de claves softtoken, consulte la pgina del comando man cryptoadm(1M).
Comando ikecert tokens

El argumento tokens enumera los ID de testigo que estn disponibles. Los ID de smbolo permiten a los comandos ikecert certlocal e ikecert certdb generar certificados de claves pblicas y solicitudes de certificados. Las certificados y las solicitudes de certificados tambin se pueden almacenar mediante la estructura criptogrfica del almacn de claves softtoken, o bien en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de certificados.
Comando ikecert certlocal

El subcomando certlocal administra la base de datos de claves privadas. Las opciones de este subcomando permiten agregar, ver y eliminar claves privadas. Este subcomando tambin crea un certificado autofirmado o una solicitud de certificado. La opcin -ks crea un certificado autofirmado. La opcin -kc crea una solicitud de certificado. Las claves se almacenan en el directorio /etc/inet/secret/ike.privatekeys del sistema o en el hardware conectado con la opcin -T. Al crear una clave privada, las opciones del comando ikecert certlocal deben tener entradas relacionadas en el archivo ike/config. La tabla siguiente muestra las correspondencias entre las opciones ikecert y las entradas ike/config.
Captulo 24 Intercambio de claves de Internet (referencia)
657
TABLA 241
Correspondencias entre las opciones ikecert y las entradas ike/config

Entrada ike/config Descripcin
Opcin ikecert
-A nombre_alternativo_tema
cert_trust nombre_alternativo_tema nombre_distinguido_X.509
Apodo que identifica el certificado de modo exclusivo. Los posibles valores son una direccin IP, una direccin de correo electrnico o un nombre de dominio. El nombre completo de la autoridad de certificacin que incluye el pas (C), el nombre de organizacin (ON), la unidad organizativa (OU) y el nombre comn (CN). Mtodo de autenticacin que es ligeramente ms lento que RSA. Mtodo de autenticacin que es ligeramente ms lento que DSA. La clave pblica RSA debe ser lo suficientemente grande para cifrar la carga til mayor. Normalmente, una carga til de identidad, como el nombre distinguido X.509, es la mayor carga til.
-D nombre_distinguido_X.509
-t dsa-sha1 -t rsa-md5 y -t rsa-sha1
auth_method dss_sig
auth_method rsa_sig
-t rsa-md5 y -t rsa-sha1 -T
auth_method rsa_encrypt
El cifrado RSA oculta las identidades de IKE de los intrusos, pero requiere que los equivalentes de IKE conozcan las claves pblicas el uno del otro. La biblioteca PKCS #11 gestiona aceleracin de claves en las placas de Sun Crypto Accelerator 1000, Crypto Accelerator 6000 de Sun y Sun Crypto Accelerator 4000. La biblioteca tambin proporciona los smbolos que gestionan el almacenamiento de claves en las placas de Sun Crypto Accelerator 4000 y Crypto Accelerator 6000 de Sun.
pkcs11_path
Si emite una solicitud de certificado con el comando ikecert certlocal -kc, enva el resultado del comando a una organizacin de PKI o a una autoridad de certificacin. Si su compaa ejecuta su propio PKI, el resultado se enva al administrador de PKI. A continuacin, la organizacin de PKI, la autoridad de certificacin o el administrador de PKI crea los certificados. Los certificados que devuelve el PKI o la autoridad de certificacin se incluyen en el subcomando certdb. La lista de revocacin de certificados (CRL) que devuelve el PKI se incluye en el subcomando certrldb.
Comando ikecert certdb

El subcomando certdb administra la base de datos de claves pblicas. Las opciones de este subcomando permiten agregar, ver y eliminar certificados y claves pblicas. El comando acepta como entrada los certificados generados con el comando ikecert certlocal -ks en un sistema remoto. Para conocer el procedimiento, consulte Cmo configurar IKE con
certificados de clave pblica autofirmados en la pgina 619. Este comando tambin acepta el certificado que recibe de un PKI o una autoridad de certificacin. Para conocer el procedimiento, consulte Cmo configurar IKE con certificados firmados por una autoridad de certificacin en la pgina 626. Los certificados y las claves pblicas se almacenan en el directorio /etc/inet/ike/publickeys del sistema. La opcin -T almacena los certificados, las claves privadas y las claves pblicas del hardware conectado.
Comando ikecert certrldb

El subcomando certrldb administra la base de datos de listas de revocacin de certificados (CRL), /etc/inet/ike/crls. La base de datos de CRL mantiene las listas de revocacin para las claves pblicas. En esta lista se incluyen los certificados que dejan de ser vlidos. Cuando los PKI proporcionan una CRL, puede instalar la CRL en la base de datos de CRL con el comando ikecert certrldb. Para conocer el procedimiento, consulte Cmo administrar una lista de revocacin de certificados en la pgina 635.
Directorio /etc/inet/ike/publickeys
El directorio /etc/inet/ike/publickeys contiene la parte pblica de un par de claves pblica-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755 . El comando ikecert certdb rellena el directorio. La opcin -T almacena las claves en la placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun en lugar del directorio publickeys. Las ranuras contienen, de modo codificado, el nombre distinguido X.509 de un certificado generado en otro sistema. Si est utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si est utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de sta en la base de datos. Se instala un certificado que est basado en la solicitud de firma de certificado que envi a la entidad certificadora (CA). Tambin se instala un certificado de la entidad certificadora (CA).
Directorio /etc/inet/secret/ike.privatekeys
El directorio /etc/inet/secret/ike.privatekeys contiene archivos de claves privadas que forman parte del par de claves pblica-privada, que constituye material de claves para las asociaciones de seguridad de ISAKMP. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves pblicas, certificados autofirmados o autoridades de certificacin. Los equivalentes de claves pblicas se almacenan en el directorio /etc/inet/ike/publickeys o en una placa &sca 4; o Crypto Accelerator 6000 de Sun.
Captulo 24 Intercambio de claves de Internet (referencia) 659
Directorio /etc/inet/ike/crls
El directorio /etc/inet/ike/crls contiene archivos de lista de revocacin de certificados (CRL). Cada archivo corresponde a un archivo de certificado pblico del directorio /etc/inet/ike/publickeys. Las organizaciones de PKI proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.
660
C A P T U L O
Filtro IP de Solaris (descripcin general)
25
2 5
Este captulo proporciona una descripcin general del filtro IP de Solaris. Para conocer las tareas del filtro IP de Solaris, consulte el Captulo 26, Filtro IP de Solaris (tareas). Este captulo contiene la informacin siguiente:

Novedades del filtro IP de Solaris en la pgina 661 Introduccin al filtro IP de Solaris en la pgina 662 Procesamiento de paquetes del filtro IP de Solaris en la pgina 663 Directrices para utilizar el filtro IP de Solaris en la pgina 666 Uso de los archivos de configuracin del filtro IP de Solaris en la pgina 666 Conjuntos de reglas del filtro IP de Solaris en la pgina 667 Enlaces de filtros de paquetes en la pgina 673 El filtro IP de Solaris y el mdulo pfil STREAMS en la pgina 673 IPv6 para el filtro IP de Solaris en la pgina 674 Pginas del comando man del filtro IP de Solaris en la pgina 675
Novedades del filtro IP de Solaris

En esta seccin se describen las novedades del Filtro IP de Solaris en Solaris. Para ver una lista completa de las nuevas funciones de Solaris y una descripcin de las versiones de Solaris, consulte Novedades de Solaris 10
Enlaces de filtros de paquetes

Versin Solaris 10 8/07: Los enlaces de filtros de paquetes ahora se utilizan para los filtros de paquetes en el sistema operativo Solaris. Esta funcin ofrece las siguientes ventajas en lo que se refiere a la administracin del sistema:
Los enlaces de filtros de paquetes simplifican la configuracin del filtro IP de Solaris.

661
Introduccin al filtro IP de Solaris
Ahora se admite el uso de filtros de paquetes en las zonas. El uso de enlaces de filtros mejora el rendimiento del filtro IP de Solaris.
Para obtener ms informacin sobre estos enlaces, consulte Enlaces de filtros de paquetes en la pgina 673. Para conocer las tareas asociadas con los enlaces de filtros de paquetes, consulte el Captulo 26, Filtro IP de Solaris (tareas).
Filtros de paquetes IPv6 para el filtro IP de Solaris

Solaris 10 6/06: Para los administradores de sistemas que han configurado parte o toda la infraestructura de red con IPv6, se ha mejorado el filtro IP de Solaris para que incluya filtros de paquetes IPv6. Los filtros de paquetes IPv6 pueden filtrar basndose en la direccin IPv6 de origen o destino, agrupaciones con direcciones IPv6 y encabezados de extensiones IPv6. Se ha agregado la opcin -6 a los comandos ipf e ipfstat para utilizar con IPv6. Aunque no se ha modificado la interfaz de la lnea de comandos para los comandos ipmon e ippool, estos comandos tambin admiten IPv6. Se ha mejorado el comando ipmon para admitir el registro de paquetes IPv6, y el comando ippool admite la inclusin de direcciones IPv6 en las agrupaciones. Para obtener ms informacin, consulte IPv6 para el filtro IP de Solaris. Si desea conocer las tareas asociadas con los filtros de paquetes IPv6, consulte el Captulo 26, Filtro IP de Solaris (tareas).
Introduccin al filtro IP de Solaris

El filtro IP de Solaris reemplaza al cortafuegos de SunScreenTM como software cortafuegos para el sistema operativo Solaris (Solaris OS). Al igual que el cortafuegos de SunScreen, el filtro IP de Solaris proporciona filtros de paquetes con estado y traduccin de direcciones de red (NAT). El filtro IP de Solaris tambin incluye filtrado de paquetes sin estado y la posibilidad de crear y administrar agrupaciones de direcciones. Los filtros de paquetes ofrecen proteccin bsica contra ataques de la red. El filtro IP de Solaris puede filtrar por direccin IP, puerto, protocolo, interfaz de red y direccin de trfico. El filtro IP de Solaris tambin puede filtrar por direccin IP de origen individual, direccin IP de destino, por intervalo de direcciones IP o por agrupaciones de direcciones. El filtro IP de Solaris se deriva de software de filtro IP de cdigo abierto. Para ver las condiciones de la licencia, las atribuciones y los copyrights para el filtro IP de cdigo abierto, la ruta predeterminada es /usr/lib/ipf/IPFILTER.LICENCE. Si se ha instalado el sistema operativo Solaris en una ubicacin que no sea la predeterminada, modifique la ruta para acceder al archivo en la ubicacin correcta.
Procesamiento de paquetes del filtro IP de Solaris
Fuentes de informacin para el filtro IP de cdigo abierto

Encontrar la pgina de inicio del software de filtro IP de cdigo abierto de Darren Reed en http://coombs.anu.edu.au/~avalon/ip-filter.html. Este sitio incluye informacin para el filtro IP de cdigo abierto, incluido un vnculo a un tutorial llamado "IP Filter Based Firewalls HOWTO" (Brendan Conoboy y Erik Fichtner, 2002). Este tutorial incluye instrucciones paso a paso para configurar cortafuegos en un entorno BSD UNIX. Aunque el tutorial se ha escrito para un entorno BSD UNIX, tambin es necesario para la configuracin del filtro IP de Solaris.

El filtro IP de Solaris ejecuta una secuencia de pasos cuando se procesa un paquete. El diagrama siguiente ilustra los pasos del procesamiento de paquetes y el modo en que los filtros se integran con la pila de protocolo TCP/IP.
Captulo 25 Filtro IP de Solaris (descripcin general)
663
ENTRADA Filtro IP de entrada Traduccin de direcciones de red Contabilidad IP Comprobacin de cach de fragmentos Comprobacin de estado de paquetes Comprobacin de cortafuegos Comprobacin de estado de tabla
Grupos de reglas
Funcin
Ruta rpida Slo pase [Procesamiento de NCLEO TCP/IP] Filtro IP de salida Comprobacin de cach de fragmentos Comprobacin de estado de paquetes Comprobacin de cortafuegos Contabilidad IP Traduccin de direcciones de red Slo pase SALIDA
FIGURA 251
Comprobacin de estado de tabla
Grupos de reglas
Secuencia de procesamiento de paquetes
664
La secuencia de procesamiento de paquetes incluye:
Traduccin de direcciones de red (NAT) La traduccin de una direccin IP privada a una direccin pblica distinta, o la asignacin de alias de mltiples direcciones privadas a una sola direccin pblica. NAT permite a una organizacin resolver el problema del agotamiento de direcciones IP cuando cuenta con redes y necesita acceder a Internet.
Cuentas IP Es posible configurar las reglas de entrada y salida por separado, y registrar el nmero de bytes que se transfieren. Cada vez que se produce una coincidencia de regla, el nmero de bytes del paquete se agrega a la regla y permite obtener las estadsticas de cascadas.
Comprobacin de cach de fragmentacin Si el siguiente paquete del trfico actual es un paquete y se ha permitido el paquete anterior, tambin se permitir el fragmento de paquete y se omitir la tabla de estado y la comprobacin de reglas.
Comprobacin de estado de paquete Si en una regla se incluye keep state, todos los paquetes de una sesin especfica se transfieren o bloquean automticamente, segn si la regla incluye pass o block.
Comprobacin de cortafuegos Las reglas de entrada y salida se pueden configurar por separado, y determinar si un paquete podr transferirse a travs del Filtro IP de Solaris a las rutinas TCP/IP del ncleo, o hacia la red.
Grupos Los grupos permiten escribir un conjunto de reglas a modo de rbol. Funcin Una funcin es la accin que se va a emprender. Las posibles funciones son block, pass, literal y send ICMP response.
Ruta rpida La ruta rpida seala al Filtro IP de Solaris que no debe transferir el paquete a la pila IP de UNIX para el encaminamiento, lo cual significa una reduccin de TTL.
Autenticacin IP Los paquetes que se autentican slo se transfieren una vez a travs de bucles de cortafuegos para evitar el procesamiento doble.
665
Directrices para utilizar el filtro IP de Solaris
Directrices para utilizar el filtro IP de Solaris
Los servicios SMF administran el filtro IP de Solaris (svc: /network/pfil and svc: /network/ipfilter. Para ver una descripcin completa de SMF, consulte el Captulo 17, Managing Services (Overview) de System Administration Guide: Basic Administration. Si desea informacin detallada sobre los procedimientos asociados con SMF, consulte el Captulo 18, Managing Services (Tasks) de System Administration Guide: Basic Administration. El filtro IP de Solaris requiere la edicin directa de los archivos de configuracin. El filtro IP de Solaris se instala como parte del sistema operativo Solaris. De modo predeterminado, el filtro IP de Solaris no est activo en una instalacin desde cero. Para configurar los filtros, debe editar los archivos de configuracin y activar manualmente el filtro IP de Solaris. Puede activar los filtros rearrancando el sistema o sondeando las interfaces con el comando ifconfig. Si desea ms informacin, consulte la pgina de comando man ifconfig(1M) Para conocer las tareas asociadas con la activacin del filtro IP de Solaris, consulte Configuracin del filtro IP de Solaris en la pgina 677. Para administrar el filtro IP de Solaris, debe asumir un rol que incluya el perfil de derechos de administracin del filtro IP o convertirse en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Las rutas de redes IP (IPMP) slo admiten filtros sin estado. Las configuraciones de Sun Cluster non admiten filtros con el filtro IP de Solaris. Los filtros entre zonas no se admiten con el filtro IP de Solaris.
Uso de los archivos de configuracin del filtro IP de Solaris

Puede utilizarse el filtro IP de Solaris para proporcionar servicios de cortafuegos o traduccin de direcciones de red (NAT). El filtro IP de Solaris se puede implementar utilizando archivos de configuracin que se puedan cargar. El filtro IP de Solaris incluye un directorio denominado /etc/ipf. Puede crear y guardar archivos de configuracin denominados ipf.conf, ipnat.conf e ippool.conf en el directorio /etc/ipf. Estos archivos se cargan automticamente durante el proceso de arranque cuando residen en el directorio /etc/ipf. Tambin puede guardar los archivos de configuracin en otra ubicacin y cargarlos manualmente. Para ver ejemplos de archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712.
666
Conjuntos de reglas del filtro IP de Solaris

Para administrar el cortafuegos, utilice el filtro IP de Solaris para especificar los conjuntos de reglas que se utilizarn para filtrar el trfico de red. Puede crear los siguientes tipos de conjuntos de reglas:

Conjuntos de reglas de filtros de paquetes Conjuntos de reglas de traduccin de direcciones de red (NAT)
Asimismo, puede crear agrupaciones de direcciones para hacer referencia a grupos de direcciones IP. Estas agrupaciones podrn utilizarse ms adelante en un conjunto de reglas. Las agrupaciones de direcciones aceleran el procesamiento de reglas. Asimismo, facilitan la administracin de grupos de direcciones de gran tamao.
Uso de la funcin de filtros de paquetes del filtro IP de Solaris

Los filtros de paquetes se configuran con los conjuntos de reglas de filtros de paquetes. Utilice el comando ipf para trabajar con conjuntos de reglas de filtros de paquetes. Para obtener ms informacin sobre el comando ipf, consulte el comando ipf(1M). Puede crear reglas de filtros de paquetes en la lnea de comandos, utilizando el comando ipf, o en un archivo de configuracin de filtros de paquetes. Si desea que las reglas de filtros de paquetes se carguen durante el arranque, cree un archivo de configuracin denominado /etc/ipf/ipf.conf en el que colocar las reglas de filtros de paquetes. Si no desea que las reglas de filtros de paquetes se carguen durante el arranque, coloque el archivo ipf.conf en la ubicacin que prefiera y active manualmente los filtros de paquetes utilizando el comando ipf. Puede mantener dos conjuntos de reglas de filtros de paquetes con el filtro IP de Solaris: el conjunto de reglas activo y el conjunto de reglas inactivo. En la mayora de los casos, se trabaja con el conjunto de reglas activo. Sin embargo, el comando ipf -I permite aplicar la accin del comando a la lista de reglas inactivas. El filtro IP de Solaris no utiliza la lista de reglas inactivas a menos que lo seleccione. La lista de reglas inactivas es un lugar donde guardar las reglas para que no afecten a los filtros de paquetes activos. El filtro IP de Solaris procesa las reglas de la lista de reglas desde el principio de la lista de reglas configuradas hasta el final, antes de transferir o bloquear un paquete. El filtro IP de Solaris incluye un indicador que determina si se transferir un paquete. Se aplica a todo el conjunto de reglas y determina si se pasar o bloquear el paquete basndose en la ltima regla coincidente. Existen dos excepciones para este proceso. La primera tiene lugar si el paquete coincide con una regla que contenga la palabra clave quick. Si una regla incluye la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes. La segunda excepcin se produce si el paquete coincide con una regla que contenga la palabra clave group. Si un paquete coincide con un grupo, slo se comprueban las reglas etiquetadas con el grupo.
Captulo 25 Filtro IP de Solaris (descripcin general) 667
Configuracin de reglas de filtros de paquetes

Utilice la sintaxis siguiente para crear reglas de filtros de paquetes: accin [in|out] opcin palabra clave, palabra clave... 1. Cada regla empieza por una accin. El filtro IP de Solaris aplica la accin al paquete si ste coincide con la regla. La lista siguiente incluye las acciones utilizadas comnmente que se aplican a un paquete. block pass log count skip nmero auth Impide que el paquete se transfiera a travs del filtro. Permite que el paquete se transfiera a travs del filtro. Registra el paquete pero no determina si se bloquea o se transfiere. Utilice el comando ipmon para ver el registro. Incluye el paquete en las estadsticas de filtro. Utilice el comando ipfstat para ver las estadsticas. Hace que el filtro omita nmero reglas de filtros. Solicita la autenticacin de paquetes por parte de un programa de usuario que valida la informacin de paquetes. El programa determina si el paquete se transferir o se bloquear. Solicita que el filtro consulte una lista autenticada previamente para determinar la accin que se llevar a cabo con el paquete.
preauth
2. Segn la accin que se lleve a cabo, la siguiente palabra debe ser in o out. Su eleccin determina si la regla de filtro de paquetes se aplica a un paquete entrante o saliente. 3. A continuacin, puede elegir en una lista de opciones. Si utiliza ms de una opcin, debe hacerlo en el orden siguiente. log quick Registra el paquete si la regla es la ltima regla coincidente. Utilice el comando ipmon para ver el registro. Ejecuta la regla que contiene la opcin quick si hay coincidencia de paquetes. Se detiene cualquier comprobacin de reglas adicional. Aplica la regla slo si el paquete se transfiere a la interfaz especificada o desde ella. Copia el paquete y enva el duplicado de nombre_interfaz a una direccin IP especificada opcionalmente. Transfiere el paquete a una cola de salida en nombre_interfaz.
on nombre_interfaz dup-to nombre_interfaz to nombre_interfaz
4. Una vez especificadas las opciones, puede elegir entre varias palabras clave que determinan si el paquete coincide con la regla. Las siguientes palabras clave deben utilizarse en el orden que se indica.
Nota De modo predeterminado, cualquier paquete que no coincida con ninguna regla en el archivo de configuracin se transfiere a travs del filtro.
tos ttl
Filtra el paquete basndose en el valor de tipo de servicio expresado como entero decimal o hexadecimal. Hace coincidir el paquete basndose en su valor de tiempo de vida. El valor de tiempo de vida que se guarda en un paquete indica el tiempo que puede permanecer un paquete en la red antes de que se descarte. Coincide con un protocolo especfico. Puede utilizar cualquier nombre de protocolo especificado en el archivo /etc/protocols, o utilizar un nmero decimal para representar el protocolo. La palabra clave tcp/udp se puede utilizar para hacer coincidir un paquete TCP o UDP. Hace coincidir cualquiera o todos los elementos siguientes: la direccin IP de origen, la direccin IP de destino y el nmero de puerto. La palabra clave all se utiliza para aceptar paquetes de todos los orgenes y con todos los destinos. Hace coincidir los atributos especificados asociados con el paquete. Inserte las palabras not o no delante de la palabra clave para que el paquete coincida slo si no est presente la opcin. Se utiliza para que TCP filtra basndose en los indicadores TCP configurados. Para obtener ms informacin sobre los indicadores TCP, consulte la pgina del comando man ipf(4). Filtra de acuerdo con el tipo de ICMP. Esta palabra clave slo se utiliza cuando la opcin proto se configura como icmp y no se utiliza si se usa la opcin flags. Determina la informacin que se guarda para un paquete. Las opciones_guardado disponibles incluyen las opciones state y frags. La opcin state guarda informacin sobre la sesin y se puede guardar en paquetes TCP, UDP e ICMP. La opcin frags guarda informacin sobre los fragmentos de paquetes y la aplica a fragmentos posteriores. opciones_guardado permite la transferencia de los paquetes coincidentes sin pasar por la lista de control de acceso. Crea un grupo para las reglas de filtros, que se indica mediante el nmero nmero.
669
proto
from/to/all/ any
with
flags
icmp-type
keep opciones_guardado
head nmero
group nmero
Agrega la regla al nmero de grupo nmero en lugar de agregarla al grupo predeterminado. Todas las reglas de filtros se colocan en el grupo 0 si no se especifica otro.
El ejemplo siguiente ilustra cmo agrupar la sintaxis de reglas de filtros de paquetes para crear una regla. Para bloquear el trfico entrante de la direccin IP 192.168.0.0/16, debe incluir la siguiente regla en la lista:
block in quick from 192.168.0.0/16 to any
Para ver la gramtica y sintaxis completa que se utiliza para escribir reglas de filtros de paquetes, consulte la pgina del comando man ipf(4) Para conocer las tareas asociadas con los filtros de paquetes, consulte Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris en la pgina 693. Para ver una explicacin del esquema de direcciones IP (192.168.0.0/16) de este ejemplo, consulte el Captulo 2, Planificacin de la red TCP/IP (tareas).
Uso de la funcin NAT del filtro IP de Solaris

NAT establece las reglas de asignacin que traducen las direcciones IP de origen y destino en otras direcciones de Internet o intranet. Estas reglas modifican las direcciones de origen y destino de los paquetes IP entrantes o salientes y envan los paquetes. Tambin puede utilizar NAT para redirigir el trfico de un puerto a otro. NAT mantiene la integridad del paquete durante cualquier modificacin o redireccin que se lleve a cabo en el paquete. Utilice el comando ipnat para trabajar con listas de reglas NAT. Para obtener ms informacin sobre el comando ipnat, consulte el comando ipnat(1M). Puede crear reglas NAT en la lnea de comandos, utilizando el comando ipnat, o en un archivo de configuracin de NAT. Las reglas de configuracin de NAT residen en el archivo ipnat.conf. Si desea que las reglas NAT se carguen durante el arranque, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea que las reglas NAT se carguen durante el arranque, coloque el archivo ipnat.conf en la ubicacin que prefiera y active manualmente los filtros de paquetes utilizando el comando ipnat.
Configuracin de reglas NAT

La sintaxis siguiente permite crear reglas NAT: comando nombre_interfaz parmetros 1. Cada regla empieza con uno de los comandos siguientes: map Asigna una red o direccin IP a otra red o direccin IP en un proceso por turnos.
670
rdr bimap map-block
Redirige los paquetes de una direccin IP y un par de puertos a otra direccin IP y otro par de puertos. Establece una NAT bidireccional entre una direccin IP externa y una direccin IP interna. Establece una traduccin basada en una direccin IP esttica. Este comando se basa en un algoritmo que fuerza la traduccin de las direcciones en un intervalo de destino.
2. Despus del comando, la siguiente palabra es el nombre de la interfaz, por ejemplo hme0. 3. A continuacin, puede elegir entre una serie de parmetros, que determinan la configuracin de NAT. Algunos de los parmetros son: ipmask dstipmask mapport Designa la mscara de red. Designa la direccin a la que se traduce ipmask. Designa los protocolos tcp, udp o tcp/udp, junto con una serie de nmeros de puerto.
El ejemplo siguiente muestra cmo agrupar la sintaxis de reglas NAT para crear una regla NAT. Para volver a escribir un paquete saliente en el dispositivo de0 con una direccin de origen de 192.168.1.0/24 y mostrar externamente su direccin de origen como 10.1.0.0/16, debe incluir la siguiente regla en el conjunto de reglas NAT:
map de0 192.168.1.0/24 -> 10.1.0.0/16
Para ver la gramtica y sintaxis completa que se utilizan para escribir las reglas NAT, consulta la pgina del comando man ipnat(4).
Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris

Las agrupaciones de direcciones establecen una nica referencia que se utiliza para asignar un nombre a un grupo de pares de direcciones/mscaras de red. Las agrupaciones de direcciones proporcionan los procesos para reducir el tiempo necesario para hacer coincidir las direcciones IP con las reglas. Asimismo, facilitan la administracin de grupos de direcciones de gran tamao. Las reglas de configuracin de agrupaciones de direcciones residen en el archivo ippool.conf. Si desea que las reglas de agrupaciones de direcciones se carguen durante el arranque, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar las reglas de agrupaciones de
671
direcciones. Si no desea que las reglas de agrupaciones de direcciones se carguen durante el arranque, coloque el archivo ippool.conf en la ubicacin que prefiera y active manualmente los filtros de paquetes con el comando ippool.
Configuracin de agrupaciones de direcciones

Utilice la sintaxis siguiente para crear una agrupacin de direcciones:
table role = role-name type = storage-format number = reference-number
table role type number
Define la referencia para las diferentes direcciones. Especifica el rol de la agrupacin en el filtro IP de Solaris. En este punto, el nico rol al que se puede hacer referencia es ipf. Especifica el formato de almacenamiento de la agrupacin. Especifica el nmero de referencia que utiliza la regla de filtros.
Por ejemplo, para hacer referencia al grupo de direcciones 10.1.1.1 y 10.1.1.2 y la red 192.16.1.0 como nmero de agrupacin 13, debe incluir la siguiente regla en el archivo de configuracin de agrupaciones de direcciones:
table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };
A continuacin, para hacer referencia al nmero de agrupacin 13 en una regla de filtros, debe estructurar la regla de un modo similar al siguiente:
pass in from pool/13 to any
Observe que debe cargar el archivo de agrupaciones antes de cargar el archivo de reglas que contiene una referencia a la agrupacin. Si no lo hace, la agrupacin no estar definida, como en el ejemplo siguiente:
# ipfstat -io empty list for ipfilter(out) block in from pool/13(!) to any
Aunque agregue la agrupacin ms adelante, no se actualizar el conjunto de reglas del ncleo. Tambin necesita volver a cargar el archivo de reglas que hace referencia a la agrupacin. Para ver la gramtica y sintaxis completas que se utilizan para escribir las reglas de filtros de paquetes, consulte la pgina del comando man ippool(4).
672
El filtro IP de Solaris y el mdulo pfil STREAMS
Enlaces de filtros de paquetes

A partir de la versin Solaris 10 8/07, los enlaces de filtros de paquetes reemplazan al mdulo pfil para activar el filtro IP de Solaris. En versiones anteriores de Solaris, se requera la configuracin del mdulo pfil como paso adicional para configurar el filtro IP de Solaris. Este requisito de configuracin adicional aumentaba el riesgo de errores que ocasionaran un funcionamiento incorrecto del filtro IP de Solaris. La insercin del mdulo pfil STREAMS entre la direccin IP y el controlador de dispositivos tambin afectaba al rendimiento. Por ltimo, el mdulo pfil no podra interceptar paquetes entre zonas. El uso de los enlaces de filtros de paquetes mejora el procedimiento para habilitar el filtro IP de Solaris. A travs de estos enlaces, el filtro IP de Solaris utiliza bifurcaciones de filtros previas al encaminamiento (entrada) y posteriores al encaminamiento (salida) para controlar el flujo de paquetes que entran y salen del sistema Solaris. Los enlaces de filtros de paquetes acaban con la necesidad del mdulo pfil. Por tanto, tambin se eliminan los siguientes componentes asociados con el mdulo.

Controlador pfil Daemon pfil Servicio SMF svc:/network/pfil
Para conocer las tareas asociadas con la activacin del filtro IP de Solaris, consulte el Captulo 26, Filtro IP de Solaris (tareas).
El filtro IP de Solaris y el mdulo pfil STREAMS

Nota El mdulo pfil se utiliza con el filtro IP de Solaris en las siguientes versiones de Solaris
10:

Solaris 10 3/05 Solaris 10 1/06 Solaris 10 6/06 Solaris 10 11/06
A partir de Solaris 10 8/07, el mdulo pfil se ha sustituido por los enlaces de filtros de paquetes y ya no se utiliza con el filtro IP de Solaris. El mdulo pfil STREAMS es necesario para activar el filtro IP de Solaris. Sin embargo, el filtro IP de Solaris no proporciona un mecanismo automtico para utilizar el mdulo en cada interfaz. En lugar de ello, el mdulo pfil STREAMS lo administra el servicio SMF svc:/network/pfil. Para activar los filtros en una interfaz de red, primero debe configurar el
673
IPv6 para el filtro IP de Solaris
archivo pfil.ap. A continuacin, active el servicio svc:/network/pfil para proporcionar el mdulo pfil STREAMS a la interfaz de red. Para que el mdulo STREAMS surta efecto, es necesario rearrancar el sistema o desconectar y volver a sondear cada interfaz de red en la que desee aplicar los filtros. Para activar las funciones de los filtros de paquetes IPv6, debe sondear la versin inet6 de la interfaz. Para ver las tareas asociadas con la activacin del filtro IP de Solaris, consulte Configuracin del filtro IP de Solaris en la pgina 677. Si no se encuentra ningn mdulo pfil para las interfaces de red, los servicios SMF se colocan en el estado de mantenimiento. La causa ms comn de esta situacin es un archivo /etc/ipf/pfil.ap editado de forma incorrecta. Si el servicio se coloca en el modo de mantenimiento, su aparicin se registra en los archivos de registro de filtros. Para ver las tareas asociadas con la activacin del filtro IP de Solaris, consulte Configuracin del filtro IP de Solaris en la pgina 677.
IPv6 para el filtro IP de Solaris

A partir de Solaris 10 6/06, el filtro IP de Solaris es compatible con IPv6. Los filtros de paquetes IPv6 pueden filtrar basndose en la direccin IPv6 de origen o destino, agrupaciones con direcciones IPv6 y encabezados de extensiones IPv6. IPv6 es similar a IPv4 en muchos aspectos. Sin embargo, el tamao del paquete y el encabezado son diferentes en las dos versiones de IP, lo cual es una consideracin importante para el filtro IP. Los paquetes IPv6 conocidos como jumbogramas contienen un datagrama de ms de 65.535 bytes. El filtro IP de Solaris no admite jumbogramas de IPv6. Para obtener ms informacin sobre otras caractersticas de IPv6, consulte Caractersticas principales de IPv6 en la pgina 72.
Nota Si desea ms informacin sobre los jumbogramas, consulte el documento IPv6 Jumbograms, RFC 2675 de Internet Engineering Task Force (IETF). [http://www.ietf.org/ rfc/rfc2675.txt]
Las tareas del filtro IP asociadas con IPv6 no son muy diferentes de IPv4. La diferencia ms notable es el uso de la opcin -6 con determinados comandos. Tanto los comandos ipf como ipfstat incluyen la opcin -6 para utilizar los filtros de paquetes IPv6. Utilice la opcin -6 con el comando ipf para cargar y vaciar las reglas de filtros de paquetes IPv6. Para ver las estadsticas de IPv6, utilice la opcin -6 con el comando ipfstat. Los comandos ipmon e ippool tambin admiten IPv6, aunque no hay ninguna opcin asociada para la compatibilidad con IPv6. El comando ipmon se ha mejorado para permitir el registro de paquetes IPv6. El comando ippool admite las agrupaciones con las direcciones IPv6. Puede crear agrupaciones slo de direcciones IPv4 o IPv6, o una agrupacin que contenga tanto direcciones IPv4 como IPv6.
Pginas del comando man del filtro IP de Solaris
Puede utilizar el archivo ipf6.conf para crear conjuntos de reglas de filtros de paquetes para IPv6. De modo predeterminado, el archivo de configuracin ipf6.conf se incluye en el directorio /etc/ipf. Al igual que con los dems archivos de configuracin de filtros, el archivo ipf6.conf se carga automticamente durante el proceso de arranque cuando se almacena en el directorio /etc/ipf. Tambin puede crear y guardar un archivo de configuracin IPv6 en otra ubicacin y cargar el archivo manualmente.
Nota La traduccin de direcciones de red (NAT) no admite IPv6.
Una vez configuradas las reglas de filtros de paquetes para IPv6, active las funciones de filtros de paquetes IPv6 sondeando la versin inet6 de la interfaz. Para obtener ms informacin sobre IPv6, consulte el Captulo 3, Introduccin a IPv6 (descripcin general). Para conocer las tareas asociadas con el filtro IP de Solaris, consulte el Captulo 26, Filtro IP de Solaris (tareas).

La tabla siguiente incluye la documentacin de la pgina del comando man relativa al filtro IP de Solaris.
Pgina de comando man Descripcin
ipf(1M)
Utilice el comando ipf para: Trabajar con conjuntos de reglas de filtros de paquetes.

Desactivar y activar los filtros. Restablecer las estadsticas y volver a sincronizar la lista de interfaces del ncleo con la lista de estado de la interfaz actual.
ipf(4)
Contiene la gramtica y sintaxis para crear reglas de filtros de paquetes del filtro IP de Solaris. Proporciona informacin de licencia del filtro IP de cdigo abierto. Utilice el comando ipfs para guardar y restablecer la informacin NAT y de la tabla de estado tras los rearranques. Utilice el comando ipfstat para recuperar y mostrar las estadsticas de procesamiento de paquetes. Utilice el comando ipmon para abrir el dispositivo de registro y ver los paquetes registrados para NAT y los filtros de paquetes.
ipfilter(5) ipfs(1M)
ipfstat(1M)
ipmon(1M)
675
Descripcin
ipnat(1M)
Utilice el comando ipnat para: Trabajar con reglas NAT. Recuperar y ver las estadsticas de NAT. Contiene la gramtica y sintaxis para crear reglas NAT. Utilice el comando ippool para crear y administrar agrupaciones de direcciones. Contiene la gramtica y sintaxis para crear agrupaciones de direcciones del filtro IP de Solaris. Muestra los parmetros de filtros actuales del mdulo pfil STREAMS y los valores actuales de los parmetros ajustables.
ipnat(4) ippool(1M)
ippool(4)
ndd(1M)
676
C A P T U L O
Filtro IP de Solaris (tareas)
26
2 6
Este captulo proporciona instrucciones detalladas para las tareas del Filtro IP de Solaris. Para obtener informacin general sobre el filtro IP de Solaris, consulte el Captulo 25, Filtro IP de Solaris (descripcin general). Este captulo contiene la informacin siguiente:

Configuracin del filtro IP de Solaris en la pgina 677 Cmo desactivar el filtro IP de Solaris en la pgina 681 Mdulo pfil en la pgina 684 Conjuntos de reglas del filtro IP de Solaris en la pgina 691 Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris en la pgina 704 Archivos de registro para el filtro IP de Solaris en la pgina 707 Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712
Configuracin del filtro IP de Solaris

El siguiente mapa de tareas identifica los procedimientos asociados con la configuracin del filtro IP de Solaris.
677
TABLA 261 Tarea
Configuracin del filtro IP de Solaris (mapa de tareas)

Descripcin Para obtener instrucciones
Activar inicialmente el filtro IP de Solaris.
El filtro IP de Solaris no est Cmo activar el filtro IP de activado de modo predeterminado. Solaris en la pgina 678 Debe activarlo manualmente o utilizar los archivos de configuracin del directorio /etc/ipf/ y rearrancar el sistema. A partir de la versin Solaris 10 8/07, los enlaces de filtros de paquetes reemplazan al mdulo pfil para activar el filtro IP de Solaris. Puede activar o desactivar el filtro IP de Solaris rearrancando el sistema o utilizando el comando ipf. Cmo volver a activar el filtro IP de Solaris en la pgina 679
Volver a activar el filtro IP de Solaris.
Activar filtrado en bucle
De modo opcional, puede activar el Cmo activar los filtros en bucle filtrado en bucle, por ejemplo, para en la pgina 680 filtrar el trfico entre zonas.
Cmo activar el filtro IP de Solaris

Utilice este procedimiento para activar el filtro IP de Solaris en un sistema en el que se ejecute como mnimo el sistema operativo Solaris 10 8/07. Para activar los filtros IP de Solaris si el sistema tiene una versin de Solaris 10 anterior a la Solaris 10 8/07, consulte Mdulo pfil en la pgina 684.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Cree un conjunto de reglas de filtros de paquetes. El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de arrancar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al arrancar, colquelas en un archivo y active manualmente los filtros de paquetes. Para obtener informacin sobre los filtros de paquetes, consulte Uso de la
678
funcin de filtros de paquetes del filtro IP de Solaris en la pgina 667. Para obtener informacin sobre cmo trabajar con los archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712.
3
(Opcional) Cree un archivo de configuracin de traduccin de direcciones de red (NAT).

Cree un archivo ipnat.conf si desea utilizar la traduccin de direcciones de red. Si desea que las reglas NAT se carguen durante el arranque, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al arrancar, coloque el archivo ipnat.conf en la ubicacin que desee y active manualmente las reglas NAT. Para obtener ms informacin sobre NAT, consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670.
4
(Opcional) Cree un archivo de configuracin de grupos de direcciones. Cree un archivo ipool.conf si desea hacer referencia a un grupo de direcciones como un nico grupo. Si desea que el archivo de configuracin de grupos de direcciones se cargue al arrancar, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar el grupo de direcciones. Si no desea cargar el archivo de configuracin del grupo de direcciones al arrancar, coloque el archivo ippool.conf en la ubicacin que desee y active las reglas manualmente. Un grupo de direcciones slo puede contener direcciones IPv4 o IPv6. Tambin puede contener tanto direcciones IPv4 como direcciones IPv6. Para obtener ms informacin sobre los grupos de direcciones, consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris en la pgina 671.
(Opcional) Active el filtro de trfico en bucle. Si desea filtrar el trfico entre zonas que estn configuradas en el sistema, debe activar los filtros en bucle. Consulte Cmo activar los filtros en bucle en la pgina 680. Asegrese de definir tambin los conjuntos de reglas adecuados que se aplican a las zonas.
Active el filtro IP de Solaris.

# svcadm enable network/ipfilter
Cmo volver a activar el filtro IP de Solaris

Puede volver a activar los filtros de paquetes que estn desactivados temporalmente.
Captulo 26 Filtro IP de Solaris (tareas)
679
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Active el filtro IP de Solaris y los filtros utilizando uno de los mtodos siguientes:
Reinicie el equipo.
# reboot
Nota Al activar el filtro IP, tras rearrancar se cargan los siguientes archivos si estn
presentes: el archivo /etc/ipf/ipf.conf, el archivo /etc/ipf/ipf6.conf cuando se utiliza IPv6 o el archivo /etc/ipf/ipnat.conf.
Ejecute la siguiente serie de comandos para activar el filtro IP de Solaris y activar los filtros: a. Active el filtro IP de Solaris.
# ipf -E
b. Active los filtros de paquetes.

# ipf -f filename
c. (Opcional) Active NAT.

# ipnat -f filename Nota La traduccin de direcciones de red (NAT) no admite IPv6.
Cmo activar los filtros en bucle

Nota Slo se puede filtrar trfico de bucle si el sistema ejecuta como mnimo Solaris 10 8/07. En
las versiones anteriores de Solaris 10 no se admite el filtro en bucle.

1
680
Cmo desactivar el filtro IP de Solaris
Detenga el filtro IP de Solaris si se est ejecutando.

# svcadm disable network/ipfilter
Edite los archivos /etc/ipf.conf o /etc/ipf6.conf agregando la lnea siguiente al inicio del archivo:
set intercept_loopback true;
Esta lnea debe preceder a todas las reglas de filtros IP que se definan en el archivo. Sin embargo, puede insertar comentarios delante de la linea, como en el ejemplo siguiente:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ... 4
Inicie el filtro IP de Solaris.

# svcadm enable network/ipfilter
Para comprobar el estado de los filtros en bucle, utilice el comando siguiente:

# ipf T ipf_loopback ipf_loopback min 0 # max 0x1 current 1
Si el filtro en bucle est desactivado, el comando producir el resultado siguiente:

ipf_loopback min 0 max 0x1 current 0

La desactivacin del filtro de paquetes y NAT resulta til en las siguientes circunstancias:

Para realizar pruebas Para resolver problemas del sistema cuando se cree que los causa el filtro IP de Solaris
El siguiente mapa de tareas identifica los procedimientos asociados con la desactivacin de las funciones de filtro IP de Solaris.
Captulo 26 Filtro IP de Solaris (tareas) 681
TABLA 262 Tarea
Desactivacin del filtro IP de Solaris (mapa de tareas)

Desactive los filtros de paquetes. Desactive NAT. Desactive los filtros de paquetes y NAT.
Desactive los filtros de paquetes utilizando el comando ipf. Desactive NAT utilizando el comando ipnat. Desactive los filtros de paquetes y NAT utilizando el comando ipf.
Cmo desactivar los filtros de paquetes en la pgina 682 Cmo desactivar NAT en la pgina 683 Cmo desactivar los filtros de paquetes en la pgina 683
Cmo desactivar los filtros de paquetes

El siguiente procedimiento desactiva los filtros de paquetes del filtro IP de Solaris vaciando las reglas de filtros de paquetes desde el conjunto de reglas de filtros activo. Este procedimiento no desactiva el filtro IP de Solaris. Puede volver a activar el filtro IP de Solaris agregando reglas al conjunto de reglas.
Use uno de los mtodos siguientes para desactivar las reglas de filtro IP de Solaris:
Elimine el conjunto de reglas activo desde el ncleo.

# ipf -Fa
Este comando desactiva todas las reglas de filtros de paquetes.
Elimine las reglas de filtros de paquetes entrantes.

# ipf -Fi
Este comando desactiva las reglas de filtros de paquetes para los paquetes entrantes.
Elimine las reglas de filtros de paquetes salientes.

# ipf -Fo
Este comando desactiva las reglas de filtros de paquetes para los paquetes salientes.
682
Cmo desactivar NAT

Con el procedimiento siguiente se desactivan las reglas NAT del filtro IP de Solaris vacindolas desde el conjunto de reglas NAT activo. Este procedimiento no desactiva el filtro IP de Solaris. Puede volver a activar el filtro IP de Solaris agregando reglas al conjunto de reglas.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elimine NAT del ncleo.
# ipnat -FC
La opcin -C elimina todas las entradas de la lista de reglas NAT actual. La opcin -F elimina todas las entradas activas de la tabla de traducciones NAT activa, que muestra las asignaciones NAT activas.
Cmo desactivar los filtros de paquetes

Al ejecutar este procedimiento, se eliminan del ncleo tanto los filtros de paquetes como NAT. Si utiliza este procedimiento, debe volver a activar el Filtro IP de Solaris para reactivar el filtro de paquetes y NAT. Para ms informacin, consulte Cmo volver a activar el filtro IP de Solaris en la pgina 679.
Desactive los filtros de paquetes y permita a todos los paquetes pasar a la red.
# ipf D
Nota El comando ipf -D vaca las reglas del conjunto de reglas. Al volver a activar los filtros, debe agregar reglas al conjunto de reglas.
683
Mdulo pfil
Mdulo pfil
En esta seccin se describe cmo utilizar el mdulo pfil STREAMS para activar o desactivar el filtro IP de Solaris y cmo ver las estadsticas de pfil. Los procedimientos slo se aplican a los sistemas que ejecutan una de las siguientes versiones de Solaris 10:

Solaris 10 3/05 Solaris 10 1/06 Solaris 10 6/06 Solaris 10 11/06
El siguiente mapa de tareas identifica los procedimientos asociados con la configuracin del mdulo pfil.
TABLA 263 Tarea
Mdulo pfil (mapa de tareas)

Activar filtro IP de Solaris
El filtro IP de Solaris no est Cmo activar el filtro IP de Solaris activado de modo predeterminado. en versiones anteriores de Solaris Debe activarlo manualmente o 10 en la pgina 684 utilizar los archivos de configuracin del directorio /etc/ipf/ y rearrancar el sistema. Configure el mdulo pfil para activar los filtros de paquetes e una tarjeta NIC Elimine una tarjeta NIC y permita que todos los paquetes pasen a travs de ella. Visualice las estadsticas del mdulo pfil para poder resolver los problemas relativos al filtro IP de Solaris utilizando el comando ndd. Cmo activar una NIC para los filtros de paquetes en la pgina 687 Cmo desactivar el filtro IP de Solaris en una NIC en la pgina 689 Cmo visualizar las estadsticas de pfil para el filtro IP de Solaris en la pgina 690
Activar una NIC para los filtros de paquetes Desactive el filtro IP de Solaris en una tarjeta NIC Visualice las estadsticas de pfil.
Cmo activar el filtro IP de Solaris en versiones anteriores de Solaris 10

El filtro IP de Solaris se instala con el sistema operativo Solaris. Sin embargo, los filtros de paquetes no estn activos de modo predeterminado. Siga este procedimiento para activar el filtro IP de Solaris.
684
Mdulo pfil
Nota Si el sistema ejecuta como mnimo la versin Solaris 10 8/07, siga el procedimiento
Cmo activar el filtro IP de Solaris en la pgina 678 que utiliza los enlaces de filtros de paquetes.
1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las tarjetas de interfaz de red (NIC) del host. De modo predeterminado, los nombres estn comentados. Elimine el comentario de los nombres de dispositivo que llevan el trfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una lnea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le #qe hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 pfil pfil pfil (Device has been uncommented for filtering) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.
# svcadm restart network/pfil
Mdulo pfil
Cree un conjunto de reglas de filtros de paquetes. El conjunto de reglas de filtros de paquetes contiene reglas de filtros de paquetes que utiliza el filtro IP de Solaris. Si desea cargar las reglas de filtros de paquetes en el momento de arrancar, edite el archivo /etc/ipf/ipf.conf para implementar los filtros de paquetes IPv4. Utilice el archivo /etc/ipf/ipf6.conf para las reglas de filtros de paquetes IPv6. Si no desea cargar las reglas de filtros de paquetes al arrancar, colquelas en un archivo y active manualmente los filtros de paquetes. Para obtener informacin sobre los filtros de paquetes, consulte Uso de la funcin de filtros de paquetes del filtro IP de Solaris en la pgina 667. Para obtener informacin sobre cmo trabajar con los archivos de configuracin, consulte Creacin y edicin de archivos de configuracin del filtro IP de Solaris en la pgina 712.
(Opcional) Cree un archivo de configuracin de traduccin de direcciones de red (NAT).

Cree un archivo ipnat.conf si desea utilizar la traduccin de direcciones de red. Si desea que las reglas NAT se carguen durante el arranque, cree un archivo denominado /etc/ipf/ipnat.conf en el que colocar las reglas NAT. Si no desea cargar las reglas NAT al arrancar, coloque el archivo ipnat.conf en la ubicacin que desee y active manualmente las reglas NAT. Para obtener ms informacin sobre NAT, consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670.
6
(Opcional) Cree un archivo de configuracin de grupos de direcciones. Cree un archivo ipool.conf si desea hacer referencia a un grupo de direcciones como un nico grupo. Si desea que el archivo de configuracin de grupos de direcciones se cargue al arrancar, cree un archivo denominado /etc/ipf/ippool.conf en el que colocar el grupo de direcciones. Si no desea cargar el archivo de configuracin del grupo de direcciones al arrancar, coloque el archivo ippool.conf en la ubicacin que desee y active las reglas manualmente. Un grupo de direcciones slo puede contener direcciones IPv4 o IPv6. Tambin puede contener tanto direcciones IPv4 como direcciones IPv6. Para obtener ms informacin sobre los grupos de direcciones, consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris en la pgina 671.
Active el filtro IP de Solaris siguiendo uno de estos mtodos:
Active el filtro IP y rearranque el equipo.

# svcadm enable network/ipfilter # reboot
686
Mdulo pfil
Nota Es necesario rearrancar si no puede utilizar los comandos ifconfig unplumb y ifconfig plumb con seguridad en las tarjetas NIC.
Active las tarjetas NIC utilizando los comandos ifconfig unplumb e ifconfig plumb. A continuacin, active el filtro IP. La versin inet6 de la interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# # # # # ifconfig hme0 ifconfig hme0 ifconfig hme0 ifconfig hme0 svcadm enable unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inte6 unplumb inet6 plumb fec3:f849::1/96 up network/ipfilter
Para obtener ms informacin sobre el comando ifconfig, consulte la pgina del comando man ifconfig(1M).
Cmo activar una NIC para los filtros de paquetes

El filtro IP de Solaris est activo durante el arranque cuando existe el archivo /etc/ipf/ipf.conf (o el archivo /etc/ipf/ipf6.conf si se utiliza IPv6). Si necesita activar los filtros en una NIC despus de activar el filtro IP de Solaris, utilice el procedimiento siguiente.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las NIC del host. De modo predeterminado, los nombres estn comentados. Elimine el comentario de los nombres de dispositivo que llevan el trfico de red que desea filtrar. Si el nombre de la NIC del sistema no aparece en la lista, agregue una lnea para especificar la tarjeta NIC.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules
687
Mdulo pfil
#le #qe hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe 3
-1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
pfil pfil pfil (Device has been uncommented for filtering) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Active los cambios en el archivo /etc/ipf/pfil.ap reiniciando la instancia del servicio network/pfil.
# svcadm restart network/pfil
Active la NIC siguiendo uno de estos mtodos:
Reinicie el equipo.
# reboot
Active las NIC que desee filtrar utilizando el comando ifconfig con las opciones unplumb y plumb. La versin inet6 de cada interfaz debe estar sondeada para poder implementar los filtros de paquetes IPv6.
# # # # ifconfig ifconfig ifconfig ifconfig hme0 hme0 hme0 hme0 unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inet6 unplumb inet6 plumb fec3:f840::1/96 up
688
Mdulo pfil
Cmo desactivar el filtro IP de Solaris en una NIC

Siga el procedimiento de ms abajo para detener los paquetes de filtros en una tarjeta NIC. Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera y edite el archivo /etc/ipf/pfil.ap . Este archivo contiene los nombres de las NIC del host. Se eliminan los comentarios de las NIC que se han utilizando para filtrar el trfico de red. Elimine los comentarios de los nombres de dispositivos que ya no desee utilizar para filtrar el trfico de red.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le #qe #hme #qfe #eri #ce #bge #be #vge #ge #nf #fa #ci #el #ipdptp #lane #dmfe -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 pfil pfil pfil (Commented-out device no longer filters network traffic) pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil pfil
Desactive la NIC utilizando uno de estos mtodos:
Reinicie el equipo.
# reboot
689
Mdulo pfil
Desactive las tarjetas NIC utilizando el comando ifconfig con las opciones unplumb y plumb. La versin inet6 de cada interfaz no debe estar sondeada para poder desactivar los filtros de paquetes IPv6. realice los siguientes pasos. El dispositivo de ejemplo del sistema es hme: a. Identifique el "major number" del dispositivo que est desactivando.
# grep hme /etc/name_to_major hme 7
b. Visualice la configuracin actual de autopush para hme0.

# autopush -g -M 7 -m 0 Major Minor Lastminor 7 ALL -
Modules pfil
c. Elimine la configuracin de autopush.

# autopush -r -M 7 -m 0
d. Abra el dispositivo y asgnele las direcciones IP.

# # # # ifconfig ifconfig ifconfig ifconfig hme0 hme0 hme0 hme0 unplumb plumb 192.168.1.20 netmask 255.255.255.0 up inet6 unplumb inet6 plumb fec3:f840::1/96 up
Cmo visualizar las estadsticas de pfil para el filtro IP de Solaris

Cuando est resolviendo problemas del filtro IP de Solaris, puede ver las estadsticas de pfil. Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
690
Visualice las estadsticas de pfil.

# ndd -get /dev/pfil qif_status
Ejemplo 261
Visualizacin de las estadsticas de pfil para el filtro IP de Solaris

El ejemplo siguiente muestra cmo visualizar las estadsticas de pfil.
# ndd -get /dev/pfil qif_status ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata notdata QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0 dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0

El siguiente mapa de tareas identifica los procedimientos asociados con los conjuntos de reglas del filtro IPP de Solaris.
TABLA 264 Tarea
Conjuntos de reglas del filtro IP de Solaris (mapa de tareas)

Administrar, ver y modificar los conjuntos de reglas de filtros de paquetes del filtro IP de Solaris. Visualiza un conjunto de reglas de filtros de paquetes activo. Visualiza un conjunto de reglas de filtros de paquetes inactivo.
Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris en la pgina 693 Cmo visualizar el conjunto de reglas de filtros de paquetes activo en la pgina 693 Cmo visualizar el conjunto de reglas de filtros de paquetes inactivo en la pgina 693
Activa un conjunto de reglas activo Cmo activar un conjunto de distinto. reglas de filtros de paquetes diferente o actualizado en la pgina 694 Elimina un conjunto de reglas. Cmo eliminar un conjunto de reglas de filtros de paquetes en la pgina 695
691
TABLA 264 Tarea
Conjuntos de reglas del filtro IP de Solaris (mapa de tareas)

Descripcin
(Continuacin)
Agrega reglas a los conjuntos de reglas.
Cmo anexar reglas al conjunto de reglas de filtros de paquetes activo en la pgina 696 Cmo anexar reglas al conjunto de reglas de filtros de paquetes inactivo en la pgina 697
Pasa de los conjuntos de reglas activos a los inactivos y viceversa. Elimina un conjunto de reglas inactivo del ncleo.
Cmo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo en la pgina 698 Cmo eliminar un conjunto de reglas de filtros de paquetes inactivo del ncleo en la pgina 699 Administracin de reglas NAT para el filtro IP de Solaris en la pgina 700
Administrar, ver y modificar las reglas NAT del filtro IP de Solaris. Visualiza las reglas NAT activas. Elimina las reglas NAT. Agrega las reglas adicionales a las reglas NAT. Administrar, ver y modificar las agrupaciones de direcciones del filtro IP de Solaris. Visualiza las agrupaciones de direcciones activas. Elimina una agrupacin de direcciones. Agrega reglas adicionales a una agrupacin de direcciones.
Cmo ver las reglas NAT activas en la pgina 700 Cmo eliminar reglas NAT en la pgina 700 Como anexar reglas a las reglas NAT en la pgina 701 Administracin de agrupaciones de direcciones para el filtro IP de Solaris en la pgina 702 Cmo ver las agrupaciones de direcciones activas en la pgina 702 Cmo eliminar una agrupacin de direcciones en la pgina 702 Cmo anexar reglas a una agrupacin de direcciones en la pgina 703
692
Administracin de conjuntos de reglas de filtros de paquetes para el filtro IP de Solaris

Cuando el Filtro IP de Solaris est activo, tanto los conjuntos de reglas de filtros de paquetes activos como los inactivos pueden residir en el ncleo. El conjunto de reglas activo determina el filtro que se est aplicando en los paquetes entrantes y salientes. El conjunto de reglas inactivo tambin guarda las reglas. Estas reglas no se utilizan a menos que convierta el conjunto de reglas inactivo en el conjunto activo. Puede administrar, ver y modificar los conjuntos de reglas de filtros de paquetes activos e inactivos.
Cmo visualizar el conjunto de reglas de filtros de paquetes activo

1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice el conjunto de reglas de filtros de paquetes activo que se ha cargado en el ncleo.
# ipfstat -io
Ejemplo 262
Visualizacin del conjunto de reglas de filtros de paquetes activo

En el ejemplo siguiente se muestra el resultado del conjunto de reglas de filtros de paquetes activo que est cargado en el ncleo.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any
Cmo visualizar el conjunto de reglas de filtros de paquetes inactivo

1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice el conjunto de reglas de filtros de paquetes inactivo.
# ipfstat -I -io
Ejemplo 263
Visualizacin del conjunto de reglas de filtros de paquetes inactivo

El ejemplo siguiente muestra el resultado del conjunto de reglas de filtros de paquetes inactivo.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all
Cmo activar un conjunto de reglas de filtros de paquetes diferente o
actualizado
Siga este procedimiento para llevar a cabo una de las tareas siguientes:
Activar un conjunto de reglas de filtros de paquetes que no sea el que est utilizando el filtro IP de Solaris. Volver a cargar el mismo conjunto de reglas de filtros que se ha actualizado.
Elija uno de estos pasos:
Cree un conjunto de reglas en un archivo diferente si desea activar un conjunto de reglas completamente distinto. Actualice el conjunto de reglas actual editando el archivo de configuracin que lo contiene.
Elimine el conjunto de reglas actual y cargue el nuevo.

# ipf -Fa -f filename
El nombre_archivo puede ser el nuevo archivo con el nuevo conjunto de reglas o el archivo actualizado que contenga el conjunto de reglas activo. El conjunto de reglas activo se elimina del ncleo. Las reglas del archivo nombre_archivo pasan a ser el conjunto de reglas activo.
694
Nota Es preciso ejecutar el comando aunque est volviendo a cargar el archivo de configuracin actual. De lo contrario, el antiguo conjunto de reglas seguir funcionando, y no se aplicar el conjunto de reglas modificado en el archivo de configuracin actualizado.
No utilice comandos como ipf -D o svcadm restart para cargar el conjunto de reglas actualizado. Dichos comandos ponen en peligro la red al desactivar el cortafuegos antes de cargar el nuevo conjunto de reglas.
Ejemplo 264
Activacin de un conjunto de reglas de filtros de paquetes diferente

El ejemplo siguiente muestra cmo reemplazar un conjunto de reglas de filtros de paquetes por otro en un archivo de configuracin distinto, /etc/ipf/ipf.conf.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
Ejemplo 265
Cmo volver a cargar un conjunto de reglas de filtros de paquetes actualizado

El ejemplo siguiente muestra cmo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo. En este ejemplo, el archivo en uso es /etc/ipf/ipf.conf.
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ip -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any
Cmo eliminar un conjunto de reglas de filtros de paquetes

1
Elimine el conjunto de reglas.

# ipf -F [a|i|o]
-a -i -o
Ejemplo 266
Elimina todas las reglas de filtros del conjunto de reglas. Elimina las reglas de filtros de los paquetes entrantes. Elimina las reglas de filtros de los paquetes salientes.
Eliminacin de un conjunto de reglas de filtros de paquetes

El ejemplo siguiente muestra cmo eliminar todas las reglas de filtros del conjunto de reglas de filtros activo.
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Cmo anexar reglas al conjunto de reglas de filtros de paquetes activo

1
Utilice uno de os mtodos siguientes para anexar reglas al conjunto de reglas activo:
Anexe reglas al conjunto de reglas en la lnea de comandos con el comando ipf -f -.

# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Ejecute los comandos siguientes: a. Cree un conjunto de reglas en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de reglas activo.
# ipf -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas activo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "ltima regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave
696
quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 267
Cmo anexar reglas al conjunto de reglas de filtros de paquetes activo

El ejemplo siguiente muestra cmo agregar una regla al conjunto de reglas de filtros de paquetes activo desde la lnea de comandos.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Cmo anexar reglas al conjunto de reglas de filtros de paquetes
inactivo
1
2 3
Cree un conjunto de reglas en el archivo que desee. Agregue las reglas que ha creado al conjunto de reglas inactivo.
# ipf -I -f filename
Las reglas de nombre_archivo se agregan al final del conjunto de reglas inactivo. Dado que el Filtro IP de Solaris utiliza un algoritmo de "ltima regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la accin de dicha regla y no se comprueban las reglas subsiguientes.
Ejemplo 268
Cmo anexar reglas al conjunto de reglas inactivo

El ejemplo siguiente muestra cmo agregar una regla al conjunto de reglas inactivo desde un archivo.
697
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Cmo alternar entre los conjuntos de reglas de filtros de paquetes
activo e inactivo
1
Alterne los conjuntos de reglas activo e inactivo.

# ipf -s
Este comando permite alternar entre los conjuntos de reglas activo e inactivo del ncleo. Si el conjunto de reglas inactivo est vaco, no se aplicar ningn filtro de paquetes.
Ejemplo 269
Cmo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
El ejemplo siguiente muestra cmo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo y viceversa.
Antes de ejecutar el comando ipf -s, el resultado del comando ipfstat -I -io muestra las reglas en el conjunto de reglas inactivo. El resultado del comando ipfstat - io muestra las reglas en el conjunto de reglas activo.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Despus de ejecutar el comando ipf -s, el resultado de los comandos ipfstat -I -io y ipfstat -io muestra que el contenido de los dos conjuntos de reglas ha cambiado.
698
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Cmo eliminar un conjunto de reglas de filtros de paquetes inactivo del
ncleo
1
Especifique el conjunto de reglas inactivo en el comando "flush all".

# ipf -I -Fa
Este comando vaca el conjunto de reglas inactivo del ncleo.

Nota Si ejecuta posteriormente ipf -s, el conjunto de reglas inactivo vaco se convertir en el conjunto de reglas activo. Un conjunto de reglas activo vaco implica que no se aplicar ningn filtro.
Ejemplo 2610
Cmo eliminar un conjunto de reglas de filtros de paquetes inactivo del ncleo

El ejemplo siguiente muestra cmo vaciar el conjunto de reglas de filtros de paquetes inactivo para eliminar todas las reglas.
# ipfstat -I -io empty list for inactive block in log quick from block in on dmfe1 proto # ipf -I -Fa # ipfstat -I -io empty list for inactive empty list for inactive
ipfilter(out) 10.0.0.0/8 to any tcp from 10.1.1.1/32 to any
ipfilter(out) ipfilter(in)
699
Administracin de reglas NAT para el filtro IP de Solaris

Utilice el procedimiento siguiente para administrar, ver y modificar las reglas NAT.
Cmo ver las reglas NAT activas

1
Visualice las reglas NAT activas.

# ipnat -l
Ejemplo 2611
Visualizacin de las reglas NAT activas

El ejemplo siguiente muestra el resultado del conjunto de reglas NAT activo.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Cmo eliminar reglas NAT

1
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Elimine las reglas NAT actuales.
# ipnat -C
Ejemplo 2612
Eliminacin de reglas NAT

Con el ejemplo siguiente aprender a eliminar las entradas de las reglas NAT actuales.
700
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
Como anexar reglas a las reglas NAT

1
Anexe reglas al conjunto de reglas NAT en la lnea de comandos con el comando ipnat -f -.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Ejecute los comandos siguientes: a. Cree reglas NAT adicionales en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de reglas NAT activo.
# ipnat -f filename
Las reglas de nombre_archivo se agregan al final de las reglas NAT.

Ejemplo 2613
Cmo anexar reglas al conjunto de reglas NAT

El ejemplo siguiente muestra cmo agregar una regla al conjunto de reglas NAT desde la lnea de comandos.
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
701
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Administracin de agrupaciones de direcciones para el filtro IP de Solaris

Utilice los procedimientos siguientes para administrar, ver y modificar las agrupaciones de direcciones.
Cmo ver las agrupaciones de direcciones activas

1
Visualice la agrupacin de direcciones activa.

# ippool -l
Ejemplo 2614
Visualizacin de la agrupacin de direcciones activa

El ejemplo siguiente muestra cmo visualizar el contenido de la agrupacin de direcciones activa.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
Cmo eliminar una agrupacin de direcciones

1
702
Elimine las entradas de la agrupacin de direcciones actual.

# ippool -F
Ejemplo 2615
Cmo eliminar una agrupacin de direcciones

El ejemplo siguiente muestra cmo eliminar una agrupacin de direcciones.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # ippool -F 1 object flushed # ippool -l
Cmo anexar reglas a una agrupacin de direcciones

1
Anexe reglas al conjunto de reglas en la lnea de comandos utilizando el comando ippool -f -.

# echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
Ejecute los comandos siguientes: a. Cree agrupaciones de direcciones adicionales en el archivo que desee. b. Agregue las reglas que ha creado al conjunto de direcciones activo.
# ippool -f filename
Las reglas de nombre_archivo se agregan al final de la agrupacin de direcciones activa.

Ejemplo 2616
Cmo anexar reglas a una agrupacin de direcciones

El ejemplo siguiente muestra cmo agregar una agrupacin de direcciones al conjunto de reglas de la agrupacin de direcciones desde la lnea de comandos.
703
Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f # ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

TABLA 265 Tarea
Cmo visualizar las estadsticas e informacin sobre el filtro IP de Solaris (mapa de tareas)
Ver las tablas de estado.
Visualiza las tablas de estado para obtener informacin sobre los filtros de paquetes con el comando ipfstat.
Cmo ver las tablas de estado para el filtro IP de Solaris en la pgina 704
Ver las estadsticas de estado.
Visualiza las estadsticas sobre el Cmo visualizar las estadsticas de estado de los paquetes utilizando el estado para el filtro IP de Solaris comando ipfstat - s. en la pgina 705 Visualiza las estadsticas de NAT utilizando el comando ipnat -s. Visualiza las estadsticas de la agrupacin de direcciones utilizando el comando ippool -s. Cmo visualizar las estadsticas de NAT para el filtro IP de Solaris en la pgina 706 Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Solaris en la pgina 707
Ver las estadsticas de NAT.
Ver las estadsticas de la agrupacin de direcciones.
Cmo ver las tablas de estado para el filtro IP de Solaris

704
Visualice la tabla de estado.

# ipfstat
Nota Puede utilizar la opcin -t para ver la tabla de estado en el formato de la utilidad. Ejemplo 2617
Visualizacin de tablas de estado para el filtro IP de Solaris

El ejemplo siguiente muestra cmo visualizar una tabla de estado.
# ipfstat bad packets: in 0 out 0 input packets: blocked 160 passed 11 nomatch 1 counted 0 short 0 output packets: blocked 0 passed 13681 nomatch 6844 counted 0 short 0 input packets logged: blocked 0 passed 0 output packets logged: blocked 0 passed 0 packets logged: input 0 output 0 log failures: input 0 output 0 fragment state(in): kept 0 lost 0 fragment state(out): kept 0 lost 0 packet state(in): kept 0 lost 0 packet state(out): kept 0 lost 0 ICMP replies: 0 TCP RSTs sent: 0 Invalid source(in): 0 Result cache hits(in): 152 (out): 6837 IN Pullups succeeded: 0 failed: 0 OUT Pullups succeeded: 0 failed: 0 Fastroute successes: 0 failures: 0 TCP cksum fails(in): 0 (out): 0 IPF Ticks: 14341469 Packet log flags set: (0) none
Cmo visualizar las estadsticas de estado para el filtro IP de Solaris

Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice las estadsticas de estado.
# ipfstat -s
Ejemplo 2618
Visualizacin de las estadsticas de estado para el filtro IP de Solaris

El ejemplo siguiente muestra cmo visualizar las estadsticas de estado.
# ipfstat -s IP states added: 0 TCP 0 UDP 0 ICMP 0 hits 0 misses 0 maximum 0 no memory 0 max bucket 0 active 0 expired 0 closed State logging enabled State table bucket statistics: 0 in use 0.00% bucket usage 0 minimal length 0 maximal length 0.000 average length
Cmo visualizar las estadsticas de NAT para el filtro IP de Solaris

Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Ver las estadsticas de NAT.
# ipnat -s
Ejemplo 2619
Visualizacin de estadsticas de NAT para el filtro IP de Solaris

El ejemplo siguiente muestra cmo visualizar las estadsticas de NAT.
# ipnat -s mapped in added 0
0 out expired 0
706
Archivos de registro para el filtro IP de Solaris
no memory inuse 0 rules 1 wilds 0
bad nat 0
Cmo visualizar las estadsticas de la agrupacin de direcciones para el filtro IP de Solaris

Ver las estadsticas de la agrupacin de direcciones.

# ippool -s
Ejemplo 2620
Visualizacin de las estadsticas de la agrupacin de direcciones para el filtro IP de Solaris

El ejemplo siguiente muestra cmo visualizar las estadsticas de la agrupacin de direcciones.
# ippool -s Pools: 3 Hash Tables: Nodes: 0

TABLA 266 Tarea
Archivos de registro para el filtro IP de Solaris (mapa de tareas)

Crear un archivo de registro.
Crea un archivo de registro del filtro IP de Solaris independiente. Visualiza el estado, la NAT y los archivos de registro normales utilizando el comando ipmon.
Cmo configurar un archivo de registro para el filtro IP de Solaris en la pgina 708 Cmo visualizar los archivos de registro del filtro IP de Solaris en la pgina 709
Visualizar archivos de registro.
707
TABLA 266 Tarea
Archivos de registro para el filtro IP de Solaris (mapa de tareas)

Descripcin
(Continuacin)
Vace el bfer de registro de paquetes. Guardar los paquetes registrados en un archivo.
Elimine el contenido del bfer de registro de paquetes utilizando el comando ipmon - F. Guarda los paquetes registrados en un archivo para poder consultarlos posteriormente.
Cmo vaciar el archivo de registro de paquetes en la pgina 710 Cmo guardar paquetes registrados en un archivo en la pgina 711
Cmo configurar un archivo de registro para el filtro IP de Solaris

De modo predeterminado, toda la informacin de registro del filtro IP de Solaris se guarda en el archivo syslogd. Debe configurar un archivo de registro para que guarde la informacin de trfico del filtro IP de Solaris de forma independiente de los dems datos que se puedan registrar en el archivo predeterminado. realice los siguientes pasos.
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Edite el archivo /etc/syslog.conf agregando las dos lneas siguientes:
# Save IPFilter log output to its own file local0.debug /var/log/log-name
Nota En la segunda lnea, asegrese de utilizar la tecla de tabulacin y no la barra espaciadora para separar local0.debug de /var/log/nombre_registro. 3
Cree el nuevo archivo de registro.

# touch /var/log/log-name
Reinicie el servicio de registro del sistema.

# svcadm restart system-log
Ejemplo 2621
Creacin de un registro del filtro IP de Solaris

En el ejemplo siguiente se muestra cmo crear ipmon.log para archivar informacin de filtro de IP. En /etc/syslog.conf:
708
# Save IPFilter log output to its own file local0.debug /var/log/ipmon.log
En la lnea de comandos:
# touch /var/log/ipmon.log # svcadm restart system-log
Cmo visualizar los archivos de registro del filtro IP de Solaris

Debe crear un archivo de registro independiente para guardar los datos del filtro IP de Solaris. Consulte Cmo configurar un archivo de registro para el filtro IP de Solaris en la pgina 708. Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Visualice el estado, la NAT o los archivos de registro normales. Para ver un archivo de registro, escriba el comando siguiente con la opcin adecuada:
# ipmon -o [S|N|I] filename
Antes de empezar 1
S N I
Muestra el archivo de registro de estado. Muestra al archivo de registro de NAT. Muestra el archivo de registro de IP normal.
Para ver todos los archivos de estado, NAT y registro normal, utilice todas las opciones:
# ipmon -o SNI filename
Si ha detenido manualmente el daemon ipmon en primer lugar, tambin puede utilizar el siguiente comando para ver los archivos de registro de estado, NAT y filtro IP de Solaris:
# ipmon -a filename
Nota No utilice la sintaxis ipmon -a si el daemon ipmon sigue ejecutndose. Normalmente,
el daemon se inicia automticamente durante el arranque del sistema. Al ejecutar el comando ipmon -a tambin se abre otra copia de ipmon. En tal caso, ambas copias leen el mismo registro, y slo una obtiene un mensaje de registro especfico. Si desea ms informacin sobre cmo visualizar archivos de registro, consulte la pgina del comando man ipmon(1M).
Ejemplo 2622
Visualizacin de archivos de registro del filtro IP de Solaris

El ejemplo siguiente muestra el resultado de /var/ipmon.log.
# ipmon -o SNI /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN
o
# pkill ipmon # ipmon -aD /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN
Cmo vaciar el archivo de registro de paquetes

Vace el bfer de registro de paquetes.

# ipmon -F
Ejemplo 2623
Vaciado del archivo de registro de paquetes

El siguiente ejemplo muestra el resultado cuando se elimina un archivo de registro. El sistema crea un informe incluso cuando no hay nada en el archivo de registro, como es el caso de este ejemplo.
# 0 0 0 ipmon bytes bytes bytes -F flushed from log buffer flushed from log buffer flushed from log buffer
710
Cmo guardar paquetes registrados en un archivo

Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Guarde los paquetes registrados en un archivo.
# cat /dev/ipl > filename
Siga registrando paquetes en el archivo nombre_archivo hasta interrumpir el procedimiento escribiendo Control-C para que vuelva a aparecer la lnea de comandos.
Ejemplo 2624
Cmo guardar los paquetes registrados en un archivo

El ejemplo siguiente muestra el resultado que se obtiene al guardar paquetes registrados en un archivo.
# cat /dev/ipl > /tmp/logfile ^C# # ipmon -f /tmp/logfile 02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 52 -S IN 02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 70 -AP IN 02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 43 -AP IN 02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 47 -AP IN 02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 129.146.157.145,23 PR tcp len 20 40 -A IN . . (output truncated)
-> -> -> -> -> -> -> ->
711
Creacin y edicin de archivos de configuracin del filtro IP de Solaris

Debe editar directamente los archivos de configuracin para crear y modificar conjuntos de reglas y agrupaciones de direcciones. Los archivos de configuracin siguen reglas de sintaxis de UNIX estndar:

El signo # indica que una lnea contiene comentarios. Los comentarios y las reglas pueden coexistir en la misma lnea. Tambin se permite agregar espacios en blanco para facilitar la lectura de las reglas. Las reglas pueden ocupar ms de una lnea. Utilice la barra inclinada inversa (\) al final de una lnea para indicar que la regla contina en la lnea siguiente.
Cmo crear un archivo de configuracin para el filtro IP de Solaris

El procedimiento siguiente describe cmo configurar:

Los archivos de configuracin de filtros de paquetes Los archivos de configuracin de reglas NAT Los archivos de configuracin de agrupaciones de direcciones
Asuma un rol que incluya el perfil con derechos de administracin del filtro IP, o convirtase en superusuario. Puede asignar el perfil con derechos de administracin del filtro IP a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Inicie el editor de archivos que prefiera. Cree o edite el archivo de configuracin para la funcin que desee configurar.
Para crear un archivo de configuracin para las reglas de filtros de paquetes, edite el archivo ipf.conf. El filtro IP de Solaris utiliza las reglas de filtros de paquetes que se colocan en el archivo ipf.conf. Si coloca las reglas para los filtros de paquetes en el archivo /etc/ipf/ipf.conf, dicho archivo se carga al arrancar el sistema. Si no desea que las reglas de filtros se carguen durante el arranque, colquelas en el archivo que prefiera. A continuacin, puede activar las reglas con el comando ipf, tal como se describe en Cmo activar un conjunto de reglas de filtros de paquetes diferente o actualizado en la pgina 694. Consulte Uso de la funcin de filtros de paquetes del filtro IP de Solaris en la pgina 667 para obtener informacin sobre cmo crear reglas de filtros de paquetes.
712
Nota Si el archivo ipf.conf est vaco, no se aplica ningn filtro. Un archivo ipf.conf
vaco equivale a tener un conjunto de reglas como el siguiente:

pass in all pass out all
Para crear un archivo de configuracin para las reglas NAT, edite el archivo ipnat.conf. El filtro IP de Solaris utiliza las reglas NAT que se colocan en el archivo ipnat.conf. Si coloca las reglas para NAT en el archivo /etc/ipf/ipnat.conf, dicho archivo se carga al arrancar el sistema. Si no desea que las reglas NAT se carguen durante el arranque, coloque el archivo ipnat.conf en la ubicacin que prefiera. A continuacin, puede activar las reglas NAT con el comando ipnat. Consulte Uso de la funcin NAT del filtro IP de Solaris en la pgina 670 para obtener informacin sobre cmo crear reglas para la NAT.
Para crear un archivo de configuracin para las agrupaciones de direcciones, edite el archivo ippool.conf. El filtro IP de Solaris utiliza la agrupacin de direcciones que se coloca en el archivo ippool.conf. Si coloca las reglas para la agrupacin de direcciones en el archivo /etc/ipf/ippool.conf , dicho archivo se carga al arrancar el sistema. Si no desea que la agrupacin de direcciones se cargue durante el arranque, coloque el archivo ippool.conf en la ubicacin que prefiera. A continuacin, puede activar la agrupacin de direcciones con el comando ippool. Consulte Uso de la funcin de agrupaciones de direcciones del filtro IP de Solaris en la pgina 671 para obtener informacin sobre la creacin de agrupaciones de direcciones.
Ejemplos de archivos de configuracin del filtro IP de Solaris

Los ejemplos siguientes ilustran las reglas de filtros de paquetes que se utilizan en las configuraciones de filtros.
EJEMPLO 2625
Configuracin de host del filtro IP de Solaris
Este ejemplo muestra una configuracin en un equipo host con una interfaz de red elxl.
# pass and log everything by default pass in log on elxl0 all pass out log on elxl0 all
713
EJEMPLO 2625
Configuracin de host del filtro IP de Solaris
(Continuacin)
# block, but dont log, incoming packets from other reserved addresses block in quick on elxl0 from 10.0.0.0/8 to any block in quick on elxl0 from 172.16.0.0/12 to any # block and log untrusted internal IPs. 0/32 is notation that replaces # address of the machine running Solaris IP Filter. block in log quick from 192.168.1.15 to <thishost> block in log quick from 192.168.1.43 to <thishost> # block and log X11 (port 6000) and remote procedure call # and portmapper (port 111) attempts block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state
Este conjunto de reglas comienza con dos reglas sin restricciones que permiten la transferencia de todos los datos con la interfaz elxl. El segundo conjunto de reglas bloquea todos los paquetes entrantes de los espacios de direcciones privadas 10.0.0.0 y 172.16.0.0 mediante el cortafuegos. El siguiente conjunto de reglas bloquea direcciones internas especficas del equipo host. Finalmente, el ltimo conjunto de reglas bloquea los paquetes que provienen de los puertos 6000 y 111.
EJEMPLO 2626
Configuracin del servidor del filtro IP de Solaris
Este ejemplo muestra una configuracin para un equipo host que acta como servidor Web. Este equipo cuenta con una interfaz de red eri.
# web server with an eri interface # block and log everything by default; then allow specific services # group 100 - inbound rules # group 200 - outbound rules # (0/32) resolves to our IP address) *** FTP proxy ***
# block short packets which are packets fragmented too short to be real. block in log quick all with short
# block and log inbound and outbound by default, group by destination block in log on eri0 from any to any head 100 block out log on eri0 from any to any head 200
# web rules that get hit most often
714
EJEMPLO 2626
(Continuacin)
pass in quick on eri0 proto tcp from any \ to eri0/32 port = http flags S keep state group 100 pass in quick on eri0 proto tcp from any \ to eri0/32 port = https flags S keep state group 100
# inbound traffic - ssh, auth pass in quick on eri0 proto tcp from any \ to eri0/32 port = 22 flags S keep state group 100 pass in log quick on eri0 proto tcp from any \ to eri0/32 port = 113 flags S keep state group 100 pass in log quick on eri0 proto tcp from any port = 113 \ to eri0/32 flags S keep state group 100
# outbound traffic - DNS, auth, NTP, ssh, WWW, smtp pass out quick on eri0 proto tcp/udp from eri0/32 \ to any port = domain flags S keep state group 200 pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = 113 flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 port = 113 \ to any flags S keep state group 200 pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200 pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100 pass out quick on eri0 proto tcp from eri0/32 \ to any port = ssh flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = http flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = https flags S keep state group 200 pass out quick on eri0 proto tcp from eri0/32 \ to any port = smtp flags S keep state group 200
# pass icmp packets in and out pass in quick on eri0 proto icmp from any to eri0/32 keep state group 100 pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200
715
EJEMPLO 2626
(Continuacin)
# block and ignore NETBIOS packets block in quick on eri0 proto tcp from any \ to any port = 135 flags S keep state group 100 block in quick to any flags S block in quick block in quick on eri0 proto tcp from any port = 137 \ keep state group 100 on eri0 proto udp from any to any port = 137 group 100 on eri0 proto udp from any port = 137 to any group 100
block in quick on eri0 proto tcp from any port = 138 \ to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 138 to any group 100 block in quick on eri0 proto tcp from any port = 139 to any flags S keep state group 100 block in quick on eri0 proto udp from any port = 139 to any group 100
EJEMPLO 2627
Configuracin del encaminador del filtro IP de Solaris
El ejemplo siguiente muestra una configuracin para un encaminador con una interfaz interna (ce0) y otra externa (ce1).
# internal interface is ce0 at 192.168.1.1 # external interface is ce1 IP obtained via DHCP # block all packets and allow specific services *** NAT *** *** POOLS ***
# Short packets which are fragmented too short to be real. block in log quick all with short
# By default, block and log everything. block in log on ce0 all block in log on ce1 all block out log on ce0 all block out log on ce1 all
# Packets going in/out of network interfaces that arent on the loopback # interface should not exist. block in log quick on ce0 from 127.0.0.0/8 to any block in log quick on ce0 from any to 127.0.0.0/8
716
EJEMPLO 2627
(Continuacin)
block in log quick on ce1 from 127.0.0.0/8 to any block in log quick on ce1 from any to 127.0.0.0/8
# Deny reserved addresses. block in quick on ce1 from 10.0.0.0/8 to any block in quick on ce1 from 172.16.0.0/12 to any block in log quick on ce1 from 192.168.1.0/24 to any block in quick on ce1 from 192.168.0.0/16 to any
# Allow internal traffic pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24 pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24
# Allow outgoing DNS requests from our servers on .1, .2, and .3 pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state
# Allow NTP from any internal hosts to any external NTP server. pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state pass out quick on ce1 proto udp from any to any port = 123 keep state
# Allow incoming mail pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state
# Allow outgoing connections: SSH, WWW, NNTP, mail, whois pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state pass pass pass pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state block in quick on ce1 proto tcp from any to any port = nntp keep state pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state
717
EJEMPLO 2627
(Continuacin)
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state pass out quick on ce1 proto tcp from any to any port = whois keep state
# Allow ssh from offsite pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state
# Allow ping out pass in quick on ce0 proto icmp all keep state pass out quick on ce1 proto icmp all keep state
# allow auth out pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state
# return rst for incoming auth block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA
# log and return reset for any TCP packets with S/SA block return-rst in log on ce1 proto tcp from any to any flags S/SA
# return ICMP error packets for invalid UDP packets block return-icmp(net-unr) in proto udp all
718
P A R T E
IP mvil
En esta parte se presenta el Protocolo de Internet mvil (IP mvil) y se indican las tareas de administracin de IP mvil. Puede instalar IP mvil en sistemas como equipos porttiles y sistemas con comunicacin inalmbrica para que puedan operar en redes externas.
Nota La funcin IP mvil se ha suprimido de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
719
720
C A P T U L O
IP para mviles (Descripcin general)
27
2 7
El protocolo de Internet (IP) para mviles permite transferir informacin entre sistemas mviles El concepto sistemas mviles incluye porttiles y comunicaciones inalmbricas. El sistema mvil puede cambiar su ubicacin a una red externa. Mientras est en la red externa, el sistema mvil se sigue pudiendo comunicar con la red principal del sistema. La implementacin Solaris del IP mvil slo es compatible con IPv4. Este captulo contiene la informacin siguiente:

Introduccin a IP para mviles en la pgina 722 Entidades funcionales de IP para mviles en la pgina 724 Funcionamiento de IP para mviles en la pgina 724 Descubrimiento de agentes en la pgina 727 Direcciones de auxilio en la pgina 728 IP para mviles con tnel inverso en la pgina 729 Registro de IP para mviles en la pgina 731 Encaminamiento de datagramas entre nodos mviles en la pgina 735 Consideraciones de seguridad para IP para mviles en la pgina 737
Para tareas relacionadas con IP para mviles, consulte el Captulo 28, Administracin de IP mvil (tareas) . Para acceder a material de referencia de IP para mviles, consulte el Captulo 29, Archivos y comandos de IP para mviles (referencia) .
Novedades de IP para mviles

La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
721
Introduccin a IP para mviles

Las versiones actuales del protocolo de Internet (IP) dan por supuesto que el punto en el que un sistema se conecta a Internet o a una red es fijo. IP asume tambin que la direccin IP del sistema identifica la red a la que este est conectado. Los datagramas que se envan a un sistema se basan en la informacin de ubicacin contenida en la direccin IP. Muchos protlocolos de Internet exigen que la direccin IP de un nodo no cambie. Si alguno de estos protocolos est activado en un sistema con IP mvil, sus aplicaciones no funcionarn. Ni siquiera HTTP funcionara si no fuese porque la vida de sus conexiones TCP es muy breve. En ese caso, actualziar una direccin IP y renovar la pgina web no supone una carga. Si un sistema mvil, o nodo mvil, se traslada a una nueva red y su direccin IP no cambia, la direccin del nodo no refleja el nuevo punto de conexin. En consecuencia, los protoclos de encaminamiento en vigor no pueden encaminar los datagramas correctamente al nodo mvil. Deber reconfigurar el nodo mvil con una direccin IP distinta que represwente la nueva ubicacin. La asignacin de una direccin IP distinta es una tarea farragosa. Por tanto, con el protocolo de Internet actual, si el nodo mvil se traslada sin cambiar su direccin, pierde el encaminamiento. Si el nodo mvil cambia de direccin, pierde las conexiones. IP para mviles resuelve el problema permitiendo que el nodo mvil utilice dos direcciones IP. La primera es una direccin permanente fija. La segunda es una direccin de auxilio que cambia en cada nuevo punto de conexin. IP para mviles permite que un sistema se mueva libremente en Internet. Tambien le permite moverse libremente en la red de una organizacin manteniedno la misma direccin permanente. En consecuencia, las comunicaviones no se interrumpen cuando el usuario cambia el punto de conexin del sistema. En vez de eso, la red se actualiza con la nueva ubicacin del nodo mvil. Consulte el Glosario para ver definiciones de trminos relacionados con IP para mviles. En la figura siguiente se ilustra la topologa general de IP para mviles.
722
Agente interno Red interna Encaminador Transceptor inalmbrico Internet
Agente externo Red externa Encaminador Transceptor inalmbrico
Nodo mvil
FIGURA 271
Host de Internet
Nodo mvil
Topologa de IP para mviles
Si se utiliza la topologa de IP para mviles de esta figura, la situacin siguiente muestra cmo se mueve un datagrama de un punto a otro de la estructura de IP para mviles: 1. El host de Internet enva datagramas al nodo mvil a travs de la direccin permanente del nodo (proceso de encaminamiento IP normal). 2. Si el nodo mvil se encuentra en su red principal, el datagrama se entrega al nodo a travs del proceso IP normal. En caso contrario, es el agente interno el que recibe el datagrama. 3. Si el nodo mvil se encuentra en una red externa, el agente interno reenva el datagrama al agente externo. El agente interno debe encapsular el datagrama en un datagrama exterior para que la direccin IP del agente externo aparezca en el encabezado IP externo. 4. El agente externo entrega el datagrama al nodo mvil. 5. Los datagramas del nodo mvil hacia el host de Internet se envan mediante los procedimiento de encaminamiento IP normales. Si el nodo mvil se enciuentra en una red externo, los paquetes se entregan al agente externo. El agente externo reenva el datagrama al host de Internet. 6. En situaciones en las que haya filtrado de entrada, la direccin ed orguen debe ser topolgicamente correcta para la subred de la que procede el datagrama, o el encaminador no podr reenviarlo. Si se da esta situacin en enlaces entre el nodo mvil y el nodo de destino, el agente externo deber ofrecer el servicio de tnel inverso. As, el agente externo podr entregar todos los datagramas que el nodo mvil enve a su agente interno. El agente interno reenviar entonces el datagrama a travs de la ruta que hubiese tomado si el nodo mvil residiese en la red prinicpal. Este proceso garantiza la correccin de la direccin de origen para todos los enlaces que debe atravesar el datagrama. En lo concerniente a las comunicaciones inalmbricas, la Figura 271 ilustra el uso de transceptores inalmbricos para transmitir los datagramas al nodo de mviles. Asimismo, los datagramas entre el host de Internet y el nodo mvil utilizan la direccin permanente del nodo mvil. La direccin permanente se utiliza aunque el nodo mvil se envcuentre en la red externa.
Captulo 27 IP para mviles (Descripcin general) 723
Entidades funcionales de IP para mviles
La direccin de auxilio se utiliza nicamente para la comunicacin con agentes de moviilidad. La direccin de auxilio es invisible para el host de Internet.
Entidades funcionales de IP para mviles

IP para mviles presenta las siguientes entidades funcionales:
Nodo mvil (NM) Host o encaminador que cambia su punto de conexin de una red a otra al tiempo que conserva las comunicaciones existentes mediante el uso de su direccin IP permanente. Agente interno (AI) Encaminador o servidor de la red principal de un nodo mvil. El encaminador intercepta los datagramas que van destinados al nodo mvil. A conitnuacin el encaminador entrega los datagramas a travs de la direccin de auxilio. El agente interno mantiene tambin informacin actualizada de la ubicacin del nodo mvil. Agente externo (AE) Encaminador o servidor ubicado en la red externa que visita el nodo mvil. Ofrece servicios de encaminamiento de host al nodo mvil. El agente externo puede proporcionar tambin una direccin de auxilio al nodo mvil mientras este est registrado.
Funcionamiento de IP para mviles

IP para mviles permite encaminar los datagramas IP a nodos mviles. La direccin permanente del nodo mvil identifica siempre al nodo, independientemente del punto de conexin de este. Cuando el nodo no est en su lugar habitual, una direccin de auxilio se asocia con la direccin permanente del nodo mvil. La direccin de auxilio proporciona informacin acerca del actual punto de conexin del nodo mvil. IP para mviles utiliza un mecanismo para registrar la direccin de auxilio con un agente interno. El agente interno redirige los datagramas de la red principal a la direccin de auxilio. El agente interno construye un nuevo encabezado IP que contiene la direccin de auxiolio del nodo mvil como direccin IP de destino. Este nuevo encabezado encapsula el datagrama IP original. As, la direccin permanente del nodo mvil no tiene efecto alguno en el encaminemiento del datagrama encapsulado hasta que el datagrama llega a la direccin de auxilio. Este tipo de encapsulado se denomina creacin de tneles. Una vez llega a la direccin de auxilio, el datagrama es desencapsulado. A continuacin se entrega al nodo mvil. En la figura siguiente se muestra un nodo mvil que reside en su red principal, Network A, antes de que se traslade a una red externa, Network B. Ambas redes son compatibles con IP para mviles. El nodo mvil est siempre asociado con su direccin permanente, 128.226.3.30.
724
Agente interno 128.6.5.1
eth0 eth1 Red B (Direccin de red = 128.6.5.0, Mscara de red = 255.255.255.0)
eth1 128.226.3.1
Nodo mvil 128.226.3.30
eth0
eth0
eth0
eth0
Red A (Direccin de red = 128.226.3.0, Mscara de red = 255.255.255.0)

FIGURA 272
Nodo mvil que reside en su red principal
En la figura siguiente se muestra un nodo mvil que se ha trasladado a una red externo, Network B. Los datagramas destinados al nodo mvil son interceptados por el agente interno en la red principal, Network A, y encapsulados. A continuacin, los datagramas se envan al agente externo en Network B, y el agente externo filtra el encabezado exterior. A continuacin, el agente externo entrega el datagrama al nodo mvil, ubicado en Network B.
Captulo 27 IP para mviles (Descripcin general)
725
Agente externo 128.6.5.1
Nodo mvil 128.226.3.30
eth0 eth1
eth0
Red B (Direccin de red = 128.6.5.0, Mscara de red = 255.255.255.0)
eth1 128.226.3.1
eth0
eth0
eth0
Red A (Direccin de red = 128.226.3.0, Mscara de red = 255.255.255.0)

FIGURA 273
Nodo mvil que se traslada a una red externa
Es posible que la direccin de auxilio pertenezca a un agente externo. La direccin de auxilio puede adquirirse mediante el Protocolo dinmico de configuracin de host (DHCP) o el Protocolo punto a punto (PPP). En el segundo caso, un nodo mvil posee una direccin de auxilio coubicada. Los agentes de movilidad (agentes internos y externos) anuncian su presencia mediante mensajes de auncion de agente. Un nodo mvil tiene tambin la opcin de solicitar un mensaje de anuncio de agente. El nodo utiliza cualquier agente de mobvilidad conectado localmente a travs de un mensaje de solicitud de agente. Los nodos mviles utilizan los anunvios de agente para determinar si se encuentran en su red principal o en una red externa. El nodo mvil utiliza un proceso de regisro especial para informar al agente interno acerca de la actual ubicacin del nodo. El nodo mvil siempre est atento a los anuncios de los agentes de movilidad advirtiendo de su presencia. El nodo utiliza estos anuncios para determinar cundo se ha trasladado a otra subred. Cuando un nodo mvil determina que el nodo mvil ha cambiado de ubicacin, el nodo utiliza el nuevo agetnte externo para reenviar un mensaje de registro al agente interno. El nodo mvil utiliza el mismo proceso cuando el nodo mvil se mueve de una red externa a otra. Cuando el nodo mvil detecta que se envcuentra en la red principal, el nodo deja de utilizar los servicios de movilidad. Cuando el nodo mvil vuelve a su red prinicpal, anula su registro con el agente interno.
Descubrimiento de agentes
Descubrimiento de agentes
Los nodos mviles utilizan el mtodo denominado descubrimiento de agentes para determinar la informacin siguiente:

Cundo se ha trasladado el nodo de una red a otra Si la red es la prinipal o una red externa La direccin de auxilio de agente externo que ofrece cada agente externo de esa red Los servicios de movilidad que ofrece el agente de movilidad, anunciados en forma de indicadores, y las extensiones adiconales en el anuncio de agente
Los agentes de movilidad transmiten anuncios de agentes para avisar de sus servicios en una red. En ausencia de anuncios de agente, un nodo mvil puede solicitarlos. Esta funcin se denomina solicitud de agente. Si un nodo mvil admite su propia direccin de auxilio coubicada, el nodo puede utilizar anuncios de encaminador normales para la misma finalidadd.
Anuncio de agente
Los nodos mviles utilizan anuncios de agentes para determinar el punto de conexin actual a Internet o a la red de una organizacin. Un anuncion de agente es un anuncio de encaminador del protocolo de mensajes de control de Internet (ICMP) que se ha ampliado para llevar tabmin una extensin de anuncio de agente de movilidad. Un agente externo puede estar demasiado ocupado para servir a otros nodos mviles. Sin embargo, el agente externo debe seguir enviando anuncios de agente. As, el nodo mvil, ya registrado con un agente externo, sabe que no se ha movido fuera del mbito del agente externo. El nodo mvil sabe tambin de este modo que no ha habido un fallo del agente externo. Un nodo mvil registrado con un agetne externo del que ya no recibe anuncios de agente probablemente sabe que ha perdido el contacto con ese agente.
Anuncios de agente a travs de interfaces dinmicas

Se puede configurar la implementacin del agente externo de modo que enva anuncios a travs de interfaces creadas dinmicamente. Tambin se pueden habilitar o inhabilitar anuncios no solicitados limitados a travs de las interfaces de anuncios. Las interfaces creadas dinmicamente se definen como aquellas interfaces que se configuran despus de que se inicie el daemon mipagent. Los anuncios a travs de interfaces dinmicas son tiles en el caso de aplicaciones compatibles con interfaces de movilidad transitorios. Adems, la limitacin de anuncios no solicitados ayuda a ahorrar ancho de banda.
Captulo 27 IP para mviles (Descripcin general)
727
Direcciones de auxilio
Solciitud de agente
Todos los nodos mviles deberan implementar la solicitud de agentes. El nodo mvil utiliza los mismos procedimientos, valores predetermiandos y constantes que se especifican para los mensajes de solciitud de encaminadores ICMP. El ritmo de envo de solicitudes por parte del nodo mvil est limitado por el nodo en s. El nodo mvil puede enviar tras solicitudes iniciales al ritmo mximo de una solicitud por segundo mientras el nodo busca un agente. Una vez que el nodo mvil se registra con un agente, el ritmo de envo de solicitudes se reduce para limitar la carga sobre la red local.
Direcciones de auxilio
IP para mviles ofrece los siguientes modos alternativos para la obtencin de direcciones de auxilio:
Un agente externo proporciona una direccin de auxilio de agente externo, que se notifica al nodo mvil mediante mensajes de anuncio de agentes. La direccin de auxilio suele ser la direccin IP del agente externo que enva el anuncio. El agente externo es el extremo final del tnell. Cuando el agente externo recibe datagramas a travs de un tnel, los desencapsula. A continuacin, el agente entrega el datagrama interno al nodo mvil. Por tanto, varios nodos mviles pueden compartir la misma direccin de auxilio. En los enlaces inalmbricos, el ancho de banda es un factor importante. Desde los enlaces inalmbricos, los agentes externos pueden ofrecer servicios de IP para mviles a enlaces con un mayor ancho de banda. Un nodo mvil obtiene una direccin de auxilio coubicada como direccin IP local a travs de algn medio externo. El nodo mvil se asocia a continuacin con alguna de sus propios interfaces de red. El nodo puede obtener la direccin en forma temporal mediante DHCP. La direcicn puede tambin ser propiedad del nodo mvil a largo plazo. Sin embargo, el nodo solo puede utilizar la direccin mientras se halla de visita en la subred a la que pertenece la direccin de auxilio. Al utilizar una direccin de auxilio coubicada, el nodo mvil acta como extremo final del tnel. El nodo efecta el desencapsulado de los datagramas que le envan a travs del tnel.
Una direccin de auxilio coubicada permite que el nodo mvil funcione sin necesidad de agente externo. Por tanto, un nodo mvil puede utilzar una direccin de auxilio coubicada en redes que no tienen implementado un agente externo. Si un nodo mvil utiliza una direccin de auxilio coubicada, el nodo debe hallarse en un enlace identificado por el prefijo de red de la direccin de auxilio. En caso contrario, los datagramas que vayan destinados a la direccin de auxilio no se podrn entregar.
IP para mviles con tnel inverso

En la seccin Funcionamiento de IP para mviles en la pgina 724 se asume que el encaminamiento dentro de Internet es independiente de la direccin de origen del datagrama. Sin embargo, es posible que un encaminador intermedio compruebe si la direccin de origen es topolgicamente correcta. Si un encaminador intermedio efecta esa comprobacin, el nodo mvil deber configurar un tnel inverso. Al configurar un tnel inverso desde la direccin de auxilio al agente interno, se garantiza que la direccin de origen del paquete de datos IP es topolgicamente correcta. Los agentes externos e internos anuncian su compatibilidad con la funcin de tnel inverso. Un nodo mvil puede solicitar un tnel inverso entre al agente externo y el interno cuando el nodo se registra. Un tnel inverso empieza en la direccin de auxilio del nodo mvil y termina en el agente interno. En la figura siguiente se muestra la topologa de IP para mviles que utiliza un tnel inverso.
Tnel inverso Nodo mvil Agente externo Tnel de reenvo Agente interno
Red IP
Nodo correspondiente
FIGURA 274
Admisin limitada de direcciones privadas

Los nodos mviles con direcciones privadas que no son encaminables globalmente a travs de Internet requieren el uso de tneles inversos. IP para mviles de Solaris es compatible con nodos mviles con direcciones privadas. ConsulteDescripcin general de la implementacin de IP para mviles en Solaris en la pgina 757 para conocer qu funciones no son compatibles con IP para mviles de Solaris. Las empresas suelne emplear direcciones privadas si no necesitan conectividad externa. Las direcciones privadas no se pueden encaminar a travs de Internet. Cuando un nodo mvil tiene una direccin privada, el nodo slo puede comunicarse con un nodo de destino si su agente interno hace pasar sus datagramas a travs de un tnel inverso. El agente interno entrega entences el datagrama al otro nodo de la misma forma que se entrega cuando el nodo mvil est
en su red principal. En la figura siguiente se muestra una tiopologa de red con dos nodos mviles con direcciones privadas. Los dos nodos utilizan la misma direccin de auxilio cuando se registran con el mismo agente externo.
10.10.1.2 Nodo 1 mvil 10.10.1.3 Nodo 2 mvil

FIGURA 275
Tnel inverso Agente externo Tnel de reenvo Agente interno
Nodos mviles con direccin privada ubicados en la misma red externa
La direccin de auxilio y la direccin del agente interno deben ser direcciones encaminables globalmente si pertenecen a dominios distintos conectados por Internet pblica. La misma red externa puede incluir dos nodos mviles con direcciones privadas que tengan la misma direccin IP. Sin embargo, cada nodo mvil debe tener un agente interno distinto. Asimismo, cada direccin debe hallarse en una subred de anuncios distinta de un nico agente externo. En la figura siguiente se muestra una topologa de red en la que se muestra esta situacin.
10.10.1.2 Nodo 1 mvil 10.10.1.2 Nodo 2 mvil Tnel de reenvo Agente externo
Tnel inverso Agente 2 interno Tnel de reenvo Tnel inverso Nodo 2 correspondiente
Agente 1 interno
Nodo 1 correspondiente
FIGURA 276
Nodos mviles con direccin privada ubicados en redes externas distintas
730
Registro de IP para mviles

Los nodos mviles detectan si se han trasladado de una subred a otra mediante el uso de anuncios de agentes. Cuando el nodo mvil recibe un anuncio de agente que indica que ha cambiado de ubicacin, el nodo se regstra a travs de un agente externo. Aunque es posible que el nodo mvil haya obtenido su propia direccin de auxilio coubicada, esta funcin se ofrece para restringir el acceso a siervicios de movilidad. El registro de IP para mviles ofrece un mecanismo flecible para que los nodos mviles comuniquen al agente interno la informacin de su actual estado de accesibilidad. El proceso de registro permite a los nodos mviles efectuar las siguientes tareas:

Solicitar servicios de reenvo al visitar una red externa Informar al agente interno de su direccin de auxilio actual Renovar un registro que est a punto de caducar Anular el registro cuando el nodo mvil vuelve a su red principal Solicitar un tnel inverso
En los mensajes de registro se intercambia informacin entre un nodo mvil, un agente externo y el agente interno. El registro crea o modifica un enlace de movilidad en el agente interno. El proceso de registro asocia la direccin permanente del nodo mvil durante la vida til especificada. El proceso de registro permite tambin a los nodos mviles efectuar las siguientes funciones:

Registrarse con varios agentes externos Anular direcciones de auxilio especficas al tiempo que se conservan otros enlaces de movilidad Descubrir la direccin de un agente interno si el nodo mvil no est configurado con esta informacin
IP para mviles define los siguientes procesos de registro para un nodo mvil:
Si un nodo mvil registra la direccin de auxilio de un agente externo, el nodo mvil est indicando al agente interno que est accesible a travs de dicho agente externo. Si un nodo mvil recibe un anuncio de agente que exige que el nodo se registre a travs de un agente externo, el nodo mvil puede an intentar obtener una direccin de auxilio coubicada. El nodo mvil puede tambin registrarse con ese agente externo o cualquier otro en ese enlace. Si un nodo mvil utiliza una direccin de auxilio coubicada, el nodo se registra directamente con el agente interno. Si un nodo mvil vuelve a su red principal, el nodo anula su registro con el agente interno.
Estos procesos de registro implican el intercambio de solicitudes de registro y de mensajes de respuesta de registro. Cuando el nodo mvil se registra mediante un agente externo, el proceso de registro reocrre los pasos siguientes, que se muestran en la figura a continuacin:
1. El nodo mvil enva una solicitud de registro al agente externo previsto para iniciar el proceso de registro. 2. El agente externo procesa la solicitud de registro y a continuacin la enva al agente interno. 3. El agente interno enva una respuesta de registro al agente externo para conceder o denegar la solicitud. 4. El agente externo procesa la respuesta de registro y a continuacin la enva al nodo mvill para indicarle la disposicin de la solicitud.
Agente externo (AE) Nodo mvil
AE 2
Agente interno (AI)
AE 3
AI
AE Nodo mvil 4
FIGURA 277
Proceso de registro de IP para mviles
Cuando el nodo mvil se registra directamente en el agente interno, el proceso de registro se compone nicamente de estos pasos:

El nodo mvil enva una solicitud de registro al agente interno. El agente interno enva una respuesta de registro al nodo mvil que concede o deniega la solicitud.
732
Asimismo, el agente externo o el interno pueden requerir un tnel inverso. Si el agente externo es compatible con la funcin de tnel inverso, el nodo mvil utiliza el proceso de registro para solicitar un tnel inverso. El nodo mvil activa el indicador de tnel inverso en la solicitud de registro para pedir un tnel inverso.
Identificador de acceso de red (NAI)

Los servidores de autenticacin, autorizacin y contbilidad (en ingls, AAA) utilizados en Internet proporcionan servicios de autentivcacin y autorizacin para sistemas de acceso telefnico. Estos servicios son tambin vlidos para nodos mviles que utilizan IP para mviles cuando los nodos intentan conectarse a dominios externos con servidores AAA. Los servidores AAA utilizan el Identifcicador de acceso de red (NAI) para identificar a los clientes. Un nodo mvil puede identificarse a s mismo si incluye el NAI en la solicitud de registro de IP para mviles. El NAI se suele utilizar como identificador exclusivo del nodo mvil, por lo que no siempre es necesaria la direccin permanente del nodo para proporcionar dicha funcin. As, un nodo mvil se puede autenticar a s mismo. Por tanto, se puede autorizar a un nodo mvil la conexin a un dominio externo sin siquiera disponer de una direccin permanente. Para solicitar la asignacin de una direccin permanente, un mensaje que contenga la extensin NAI del nodo mvil puede poner a cero el de .campo de direccin permanente de la solicitud de registro.
Autenticacin mediante mensaje de IP para mviles

Cada nodo mvil, agente interno y externo admiten una asociacin de seguridad de movilidad entre los distintos componentes de IP para mviles. La asociacin de seguridad est indexada por el ndice de parmetro de seguridad (SPI) y la direccin IP. En el caso del nodo mvil, esta direccin es la direccin permanente del nodo. Los mensajes de registro entre un nodo mvil y el agente interno se autentican con la extensin de autenticacin nodo mvil-agente interno. Aparte de la autenticacin nodo mvil-agente interno, que es obligatoria, puede utilizar las autenticaciones opcionales nodo mvil-agente externo y agente externo-agente interno.
Solicitud de registro del nodo mvil

Los nodos mviles utilizan un mensaje de solicitud de registro para registrarse con el agente interno. As, el agente interno puede crear o modificar un enlace de movilidad para ese nodo mvil (por ejemplo, con un nuevo valor de vida til). El agente externo puede transmitir la solicitud de registro al agente interno. Sin embargo, si el nodo mvil est registrando una direccin de auxilio coubicada, el nodo puede enviar la solicitud de registro directamente al agente interno. Si el agente externo anunca que los mensajes de registro se deben enviar al agente externo, el nodo mvil deber enviar la solicitud de registro al agente externo.
Mensaje de respuesta de registro

Un agente de movilidad devuelve un mensaje de respuesta de registro a un nodo mvil que ha enviado un mensaje de solicitud de registro. Si el nodo mvil solicita servicio de un agente externo, ese agente recibe la respuesta del agente interno. A continuacin, el agente externo transmite la respuesta al nodo mvil. El mensaje de respuesta contiene los cdigos necesarios para informar al agente externo del estado de la solicitud de registro. El mensaje contiene tambin la vida til que concede el agente interno. Dicha vida puede ser inferior a la solicitud original. La respuesta de registro puede contener tambin una asignacin de direccin permanente dinmica.
Consideraciones del agente externo

El agente externo tiene mayoritamiente un papel pasivo en el proceso de registro de IP para mviles. El agente externo agrega todos los nodos mviles registrados a la tabla de visitantes. El agente externo tranmite las solicitudes de registro entre nodos mviles y agentes internos. Asimismo, cuando el agente interno proporciona la direccin de auxilio, el agente externo desencapsula los datagramas para su entrega al nodo mvil, El agente externo envva tambin mensajes peridicos de anuncio de agente para advertir de su presencia. Si los agentes internos y los externos admiten tneles inversos y el nodo mvil solicita un tnel inverso, el agente externo enva por el tnel todos los paquetes del nodo mvil al agente interno. A continuacin, el agente interno enva los paquetes al nodo de destino. Este proceso es inverso al del agente interno enviando por tnel todos los paquetes del nodo mvil al agente externo para su entrega al nodo mvil. Un agente externo compatible con tneles inversos anuncia esta compatibilidad para el registro. A causa de las directrices locales, el agente externo pude denegar una solicitud de registro si el indicador de tnel inverso no est activado. El agente externo slo puede distinguir varios nodos mviles con la misma direccin IP (privada) si dichos nodos visitan interfaces distintas del agente externo. En la situacin del tnel directo, el agente externo distingue entre los diversos nodos mviles que comparten la misma direccin privada consultando la interfaz del tnel entrante. La interfaz del tnel entrante est asociada nvocamente con una direccin de agente interno.
Consideraciones del agente interno

El agente interno tiene una tarea activa en el proceso de registro. El agente interno recibe solicitudes de registro del nodo mvil. La solicitud de registro puede haber sido trasnmitida por el agente externo. El agente interno actualiza su registro de los enlaces de movilidad de este nodo mvil. El agente interno emite una respuesta de registro adecuada para cada solicitud de registro. El agente interno reenva tambin paquetes al nodo mvil cuando este no est en la red principal.
Encaminamiento de datagramas entre nodos mviles
Un agente interno puede no tener configurada una subred fsica para los nodos mviles. Sin embargo, el agente debe reconocer la direccin permanente del nodo mvil mediante el archivo mipagent.conf u otro mecanismo cuando concede el registro. Para obtener ms informacin acerca de mipagent.conf, consulte Creacin del archivo de configuracin de IP mvil en la pgina 740. Un agente interno puede admitir nodos mviles con direcciones privadas configurando estos nodos en el archivo mipagent.conf. Las direcciones permanentees que utiliza el agente interno deben ser exclusivas.
Descubrimiento dinmico de agente interno

En ciertas situaciones, es posible que el nodo mvil no conozca la direccin del agente interno cuando el nodo intenta registrarse. Si el nodo mvil no sabe la direccin del agente interno, puede utilizar la resolucin dinmica de la direccin del agente para averiguarla. En esta sitaucin, el nodo mvil asigna como valor del campo de agente interno en la solicitud de registro la direccin de multidifusin de su red principal dirigida a la subred. Cada agente interno que reciba una solicitud de registro con una direccin de destino que sea una direccin de multidifusin rechazaar el registro del nodo mvil devolviendo una respuesta de rechazo de registro. De esta forma, el nodo mvil puede utilizar la direccin IP de unidifusin del agente interno indicada en la respuesta de rechazo la siguiente vez que el nodo intente registrarse.

En esta seccin se describe de qu modo los nodos mviles y los agentes externos cooperan para encaminar los datagramas de los nodos mviles conectados a una red externa. ConsulteDescripcin general de la implementacin de IP para mviles en Solaris en la pgina 757 para conocer qu funciones son compatibles con el SO Solaris.
Mtodos de encapsulado
Los agentes internos y externos utilizan alguno de los mtodos de encapsulado disponibles para admitir datagramas que utilcen tnel. Los mtodos de encapsulado definidos son Encapsulado de IP en IP, Encapsulado mnimo y Encapsulado de encaminamiento genrico (GRE). El agente interno y el externo, o el nodo mvil coubicado indirecto y el agente interno, deben admitir el mismo mtodo de encapsulado. Todas las entidades de IP para mviles deben admitir el encapsulado de IP en IP.
Encaminamiento de datagramas de unidifusin

Al registrarse en una red externa, el nodo mvil utiliza las siguientes reglas para elegir un encaminador predeterminado:
Si el nodo mvil est registrado y utiliza una direccin de auxilio de un agente externo, el proceso es directo. El nodo mvil elige su encaminador predeterminado de entre las direcciones de encaminador annunciado en la parte de anuncio de encaminador ICMP del anuncio del agente. El nodo mvil puede tambin tener en cuenta la direccin IP de origen del anuncio del agente como otra posible opcin para la direccin IP de un encaminador predeterminado. El nodo mvil puede registrarse directamente con el agente interno mediante el uso de una direccin de auxilio coubicada. A continuacin, el nodo mvil elige su encaminador predeterminado entre los que estn anunciados en cualquier mensaje de anuncio de encaminador ICMP que reciba. El prefijo de red del encaminador predeterminado elegido debe coincidir con el prefijo de red de la direccin de auxilio del nodo mvil que se obtiene de forma externa. La direccin debe coincidir con la direccin IP de origen del anuncio de agente bajo el prefijo de red. El nodo puede asimismo considerar esa direccin IP de origen como otra posible alternativa de direccin IP de un encaminador predeterminado. Si el nodo mvil est registrado, un agente externo que admita tnel inverso encamina los datagramas de unidifusin del nodo mvil al agente interno a travs del tnel inverso. Si el nodo mvil est registrado con un agente externo que admite tnel inverso, el nodo deber utilizar ese agente como encaminador predeterminado.
Datagramas de multidifusin
Cuando un agente interno recibe un datagrama de multidifusin o de difusin, el agente interno reenva nicamente el datagrama a los nodos mviles que han solicitado especficamente recibirlos. El modo en que el agente interno enva estos datagramas a los nodos mviles depende principalmente de dos factores. Bien el nodo mvil utiliza una direccin de auxilio proporcionada por un agente externo o bien utiliza du propia direccin de auxilio coubicada. El primer caso implica que el datagrama debe tener un doble encapsulado. El primer encabezado IP identifica el nodo mvil para el que se debe entregar el datagrama. El primer encabezado IP no est presente en el datagrama de multidifusin o difusin. El segundo encabezado IP identifica la direccin de auxilio y es el encabezado de tnel habitual. En el segundo caso, el nodo mvil desencapsula sus propios datagramas, y basta con enviar el datagrama a travs del tnel usual.
Encaminamiento de datagramas de multidifusin

Para empezar a recibir trfico de multidifusin cuando un nodo mvil est visitando una subred externa, el nodo puede unirse a un grupo de multidifusin mediante uno de estos mtodos:
Si el nodo mvil utiliza una direccin de auxilio coubicada, puede utilizarla como direccin IP de origen de cualquier mensaje de entrada del Protocolo de gestin de grupos de Internet (IGMP). Sin embargo, la subred visitada debe disponer de un encaminador de multidifusin.
736
Consideraciones de seguridad para IP para mviles
Si el nodo mvil quiere unirse al grupo de ICMP desde su subred principal, deber utilizar un tnel inverso para enviar mensajes de entrada IGMP al agente interno. Sin embargo, el agente interno del nodo mvil debe ser un encaminador de multidifusin. El agente interno reenva entonces los datagramas de multidifusin al nodo mvil a travs del tnel. Si el nodo mvil utiliza una direccin de auxilio coubicada, puede utilizarla como direccin IP de origen de los mensajes de entrada IGMP. Sin embargo, la subred visitada debe disponer de un encaminador de multidifusin. Una vez que el nodo mvil ha entrado en el grupo, puede participar enviando sus propios paquetes de multidifusin directamente en la red visitada. Enviar directamente en la red visitada. Enviar al agente interno a travs de un tnel.
El encaminamiento de multidifusin depende de la direccin IP de origen. Un nodo mvil que enva un datagrama de multidifusin debe enviarlo desde una direccin de origen vlida en ese enlace. As, un nodo mvil que enve datagramas de multidifusin directamente en la red visitada debe utilizar una direccin de auxilio coubicada como direccin IP de origen. Asimismo, el nodo mvil debe haberse unido al grupo de multidifusin asociado con la direccin. De forma similar, un nodo mvil que se haya unido a un grupo de multidifusin mientras estaba en su subred, antes de trasladarse, o se haya unido a un grupo de multidifusin utilizando itinerancia a travs de un tnel inverso con su agente interno, deber utilizar su direccin permanente como direccin IP de origen del datagrama de multidifusin. As, el nodo mvil deber enviar tambin estos datagramas por tnel inverso a su subred principal, ya sea l mismo mediante su direccin de auxilio coubicada o a travs del tnel inverso de un agente externo. Aunque parece ms eficiente que un nodo mvil se una siempre desde la subred que est visitando, sigue siendo un nodo mvil. En consecuencia, el nodo debera repetir la entrada cada vez que cambiase de subred. La forma ms eficiente es que el nodo mvil se una a travs de su agente interno, sin tener que encargarse de la carga adicional. Asimismo, puede haber sesiones de multidifusin solo disponibles desde la subred principal. Otros factores pueden tambin exigir que el nodo mvil participe de un modo especfico.

En numerosas situaciones, los equipos mviles utilizan enlaces inalmbricos para conectarse a la red. Los enlaces inalmbricos son especialmente vulnerables a intrusiones pasivas, ataques de repeticin activos y otros ataques activos. IP para mviles carece de capacidad para reducir o eliminar esta vulnerabilidad, de modo que utiliza un tipo de autenticacin para proteger los mensajes de registro de IP para mviles contra estos ataques. El algoritmo predeterminado utilizado es MD5, con una clave de 128 bits. El modo de funcionamiento predeterminado exige que la clave preceda y remate los datos del hash. El agente externo utiliza MD5 para la autenticacin. Este agente utiliza tambin claves de
128 bits o mayores, con distribucin de claves manual. IP para mviles puede admitir otros algoritmos de autenticacin, modos de algoritmo, mtodos de distribucin de claves y tamaos de clave. Estos mtodos impiden la modificacin de los mensajes de registro de IP para mviles. Sin embargo, IP para mviles utiliza tambin una forma de proteccin de repeticin para avisar a las entidades de IP para mviles cuando reciben duplicados de mensajes de registro anteriores. Sin este mtodo de proteccin, el nodo mvil y su agente interno podran perder la sincronizacin cuando alguno de ellos recibiese un mensaje de registro. As, IP para mviles actualiza su estado. Por ejemplo, un agente interno recibe un mensaje de anulacin de registro duplicado mientras el nodo mvil est registrado a travs de un agente externo. La proteccin de repeticin se efecta mediante un mtodo denominado nonces o indicaciones de hora. Los agentes internos y los nodos mviles intercambian nonces e indicaciones de hora dentro de los mensajes de registro de IP para mviles. Las nonces e indicaciones de hora estn protegidas contra modificaciones por un algoritmo de autenticacin. Por consiguiente, si un agente interno recibe un mensaje duplicado, el mensaje puede descartarse. El uso de tneles puede suponer una vulnerabilidad significativa, en especial si el registro no est autenticado. Asimismo, el Protocolo de resolucin de direcciones (ARP) no est autenticado, y se puede utilizar para robar el trfico de otro host.
Uso de IPsec con IP para mviles

Los agentes internos y externos son entidades fijas, as que en general pueden utilizar autenticacin o cifrado IPsec para proteger tanto los mensajes de registro de IP para mviles como el trfico por tneles directos e inversos. Este proceso es totalmente independiente de IP para mviles, y depende nicamente de la capacidad de la estacin de trabajo para llevar a cabo las funciones de IPsec. Los nodos mviles pueden tambin utilizar autenticacin IPsec para proteger su trfico de registro. Si el nodo mvil se registra a travs de un agente externo, en general el nodo no puede utilizar cifrado IPsec. Esto es debido a que el agente externo debe ser capaz de comprobar la informacin del paquete de registro. Aunque el cifrado IPsec puede utilizarse en los casos en los que no sea necesario un agente externo, la coubicacin dificulta su uso. IPsec es una relacin de seguridad de nivel de IP. Por tatno, un agente interno debera conocer la direccin coubicada del nodo mvil sin disponer de informacin anterior ni mensajes de registro. Para obtener ms informacin acerca de IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general) o el Captulo 20, Configuracin de IPsec (tareas).
738
C A P T U L O
Administracin de IP mvil (tareas)
28
2 8
En este captulo se ofrecen procedimientos para modificar, agregar, eliminar y mostrar parmetros del archivo de configuracin de IP mvil. En l se indica tambin como mostrar el estado del agente de movilidad. Este captulo contiene la informacin siguiente:

Creacin del archivo de configuracin de IP mvil (mapa de tareas) en la pgina 740 Creacin del archivo de configuracin de IP mvil en la pgina 740 Modificacin del archivo de configuracin de IP mvil en la pgina 746 Modificacin del archivo de configuracin de IP mvil (mapa de tareas) en la pgina 745 Presentacin del estado del agente de movilidad en la pgina 753 Presentacin de las rutas de movilidad de un agente externo en la pgina 754
Para ver una introduccin a IP para mviles, consulte el Captulo 27, IP para mviles (Descripcin general). Para ver informacin detallada sobre IP para mviles, consulte el Captulo 29, Archivos y comandos de IP para mviles (referencia) .
Nota La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
739
Creacin del archivo de configuracin de IP mvil (mapa de tareas)
Creacin del archivo de configuracin de IP mvil (mapa de tareas)

Crear el archivo de configuracin de IP mvil. Configurar la seccin General.
Implica crear el archivo /etc/inet/mipagentconfiguracin o copiar uno de los archivos de ejemplo. Implica escribir el nmero de versin en la seccin General del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Advertisements del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin GlobalSecurityParameters del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Pool del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin SPI del archivo de configuracin de IP mvil. Implica agregar etiquetas y valores, o modificarlos, en la seccin Address del archivo de configuracin de IP mvil.
Creacin del archivo de configuracin de IP mvil en la pgina 741 Cmo configurar la seccin General en la pgina 742 Cmo configurar la seccin Advertisements en la pgina 742
Configurar la seccin Advertisements.
Configurar la seccin GlobalSecurityParameters.
Cmo configurar la seccin GlobalSecurityParameters en la pgina 743 Cmo configurar la seccin Pool en la pgina 743 Cmo configurar la seccin SPI en la pgina 743 Cmo configurar la seccin Address en la pgina 744
Configurar la seccin Pool.
Configurar la seccin SPI.
Configurar la seccin Address.
Creacin del archivo de configuracin de IP mvil

En esta seccin se explica cmo planificar para IP mvil y crear el archivo /etc/inet/mipagentconfiguracin.
Cmo planificar para IP mvil

Cuando se configura el archivo mipagent.conf por primera vez, se deben efectuar las tareas siguientes:
740
En funcin de las necesidades de su organizacin, determinar qu funciones puede ofrecer su agente de IP mvil:

solo funcionalidad de agente externo slo funcionalidad de agente interno Funcionalidad de agente interno y externo
Cree el archivo /etc/inet/mipagent.conf y especifique los parmetros necesarios mediante los procedimientos descritos en esta seccin. Tambin puede copiar uno de los archivos siguientes en /etc/inet/mipagentconfiguracin y modificarlo segn sus necesidades:
Para funcionalidad de agente externo, copie /etc/inet/mipagentconfiguracin.fa-sample . Para funcionalidad de agente interno, copie /etc/inet/mipagentconfiguracin.ha-sample . Para funcionalidad de agente externo y de agente interno, copie /etc/inet/mipagentconfiguracin-sample.
Puede rearrancar el equipo e invocar la secuencia de arranque que inicia el daemon mipagent. Tambin puede iniciar mipagent escribiendo el comando siguiente:
# /etc/inet.d/mipagent start

Asuma la funcin de administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Cree el archivo /etc/inet/mipagentconfiguracin mediante una de estas opciones:

En el directorio /etc/inet, cree un archivo vaco con el nombre mipagentconfiguracin. Copie el archivo de la lista siguiente que ofrezca la funcionalidad que desee para el archivo /etc/inet/mipagentconfiguracin.

/etc/inet/mipagentconfiguracin.fa-sample /etc/inet/mipagentconfiguracin.ha-sample /etc/inet/mipagentconfiguracin-sample
Captulo 28 Administracin de IP mvil (tareas)
741
Agregue o modifique parmetros de configuracin en el archivo /etc/inet/mipagentconfiguracin para adaptarse a sus requisitos. En el resto de procedimientos de esta seccin se describen los pasos para modificar las secciones de /etc/inet/mipagentconfiguracin.
Cmo configurar la seccin General

Si ha copiado uno de los archivos de ejemplo del directorio /etc/inet, puede hacer caso omiso de este procedimiento, porque el archivo de ejemplo ya contiene esta entrada. Seccin General en la pgina 763 proporciona descripciones de las etiquetas y valores que se utilizan en esta seccin.
Edite el archivo /etc/inet/mipagentconfiguracin y agreugue las lneas siguientes:

[General] Version = 1.0
Nota El archivo /etc/inet/mipagent.conf debe contener esta entrada.
Cmo configurar la seccin Advertisements

Seccin Advertisements en la pgina 764 proporciona descripciones de las etiquetas y valores que se utilizan en esta seccin.
Edite el archivo /etc/inet/mipagentconfiguracin y agregue o modifique las siguientes lneas utilizando los valores requeridos para su configuracin.
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>
Nota Deber incluir una seccin Advertisements distinta para cada interfaz del host local que
ofrezca servicios de IP mvil.
742
Cmo configurar la seccin GlobalSecurityParameters

Seccin GlobalSecurityParameters en la pgina 765 proporciona descripciones de las etiquetas y valores que se utilizan en esta seccin.
Edite el archivo /etc/inet/mipagentconfiguracin y agregue o modifique las siguientes lneas utilizando los valores requeridos para su configuracin.
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
Cmo configurar la seccin Pool

Seccin Pool en la pgina 766 proporciona descripciones de las etiquetas y valores que se utilizan en esta seccin:
1 2
Edite el archivo /etc/inet/mipagentconfiguracin Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
[Pool pool-identifier] BaseAddress = IP-address Size = size
Cmo configurar la seccin SPI

Seccin SPI en la pgina 767 proporciona descripciones de las etiquetas y valores que se utilizan en esta seccin.
1 2
Edite el archivo /etc/inet/mipagentconfiguracin . Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
Captulo 28 Administracin de IP mvil (tareas) 743
Nota Deber incluir una seccin SPI distinta para cada contexto de seguridad implementado.
Cmo configurar la seccin Address

Seccin Address en la pgina 768 proporciona descripciones de las etiquetas y valores que se utilizan en esta seccin.
1 2
Edite el archivo /etc/inet/mipagentconfiguracin . Agregue o modifique las siguientes lneas utilizando los valores necesarios para su configuracin:
Para un nodo mvil, utilice lo siguiente:

[Address address] Type = node SPI = SPI-identifier
Para un agente, utilice lo siguiente:

[Address address] Type = agent SPI = SPI-identifier IPsecRequest = action {properties} [: action {properties}] IPsecReply = action {properties} [: action {properties}] IPsecTunnel = action {properties} [: action {properties}]
donde accin y {propiedades} corresponden a cualquiera de las acciones y propiedades asociadas que se definen en la pgina de comando man ipsec(7P).
Nota El ndice de parmetro de seguridad (SPI) configurado anteriormente corresponde al mecanismo de proteccin MD5 que requiere RFC 2002. El SPI configurado anteriormente no corresponde al SPI que utiliza IPsec. Para obtener ms informacin acerca de IPsec, consulte el Captulo 19, Arquitectura de seguridad IP (descripcin general) y el Captulo 20, Configuracin de IPsec (tareas). Consulte tambin la pgina de comando man ipsec(7P).
Para un nodo mvil identificado por su NAI, utilice lo siguiente:

[Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier
744
Modificacin del archivo de configuracin de IP mvil (mapa de tareas)
Para un nodo mvil predeterminado, utilice lo siguiente:

[Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier
Modificacin del archivo de configuracin de IP mvil (mapa de tareas)

Tarea Modificar la seccin General. Descripcin Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin General del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin Advertisements del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin GlobalSecurityParameters del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin Pool del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin SPI del archivo de configuracin de IP mvil. Utiliza el comando mipagentconfig change para cambiar el valor de una etiqueta en la seccin Address del archivo de configuracin de IP mvil. Para obtener instrucciones Cmo modificar la seccin General en la pgina 746
Modificar la seccin Advertisements.
Cmo modificar la seccin Advertisements en la pgina 747
Modificar la seccin GlobalSecurityParameters.
Cmo modificar la seccin GlobalSecurityParameters en la pgina 747
Modificar la seccin Pool.
Cmo modificar la seccin Pool en la pgina 748
Modificar la seccin SPI.
Cmo modificar la seccin SPI en la pgina 748
Modificar la seccin Address.
Cmo modificar la seccin Address en la pgina 749
745
Modificacin del archivo de configuracin de IP mvil
Agregar o eliminar parmetros.
Utiliza el comando mipagentconfig add o delete para agregar nuevos parmetros, etiquetas y valores o para eliminar los existentes en cualquier seccin del archivo de configuracin de IP mvil.
Cmo agregar o eliminar parmetros del archivo de configuracin en la pgina 750
Mostrar los valores actuales de los destinos Utiliza el comando mipagentconfig get de parmetros. para ver los valores actuales de cualquier seccin del archivo de configuracin de IP mvil.
Cmo mostrar los valores actuales de los parmetros del archivo de configuracin en la pgina 751

En esta seccin se indica cmo modificar el archivo de configuracin de IP mvil mediante el comando mipagentconfig. Tambin se indica cmo mostrar los valores actuales de los destinos de parmetros. EnConfiguracin del agente de movilidad IP en la pgina 772 se ofrece una descripcin conceptual del uso del comando mipagentconfig. Tambin puede consultar la pgina de comando man mipagentconfig(1M).
Cmo modificar la seccin General

Asuma la funcin de Administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
En una lnea de comandos, escriba el comando siguiente para cada etiqueta de la seccin General que quiera modificar.
# mipagentconfig change <label> <value>
Ejemplo 281
Modificacin de un parmetro de la seccin General

En el ejemplo siguiente se muestra cmo modificar el nmero de versin en la seccin General del a. de configuracin.
# mipagentconfig change version 2
746
Cmo modificar la seccin Advertisements

Asuma la funcin de administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin Advertisements:
# mipagentconfig change adv device-name <label> <value>
Por ejemplo, si va a modificar la vida til anunciada del agente a 300 segundos para el dispositivo hme0, utilice el siguiente comando.
# mipagentconfig change adv hme0 AdvLifetime 300
Ejemplo 282
Modificacin de la seccin Advertisements

En el ejemplo siguiente se muestra cmo modificar otros parmetros en la seccin Advertisements del a. de configuracin.
# # # # # # mipagentconfig mipagentconfig mipagentconfig mipagentconfig mipagentconfig mipagentconfig change change change change change change adv adv adv adv adv adv hme0 hme0 hme0 hme0 hme0 hme0 HomeAgent yes ForeignAgent no PrefixFlags no RegLifetime 300 AdvFrequency 4 ReverseTunnel yes
Cmo modificar la seccin GlobalSecurityParameters

Asuma la funcin de administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin GlobalSecurityParameters:
# mipagentconfig change <label> <value>
Por ejemplo, si quiere activar la autenticacin para el agente interno y el externo, utilice el comando siguiente:
# mipagentconfig change HA-FAauth yes Ejemplo 283
Modificacin de la seccin GlobalSecurityParameters

En el ejemplo siguiente se muestra cmo modificar otros parmetros en la seccin GlobalSecurityParameters del a. de configuracin.
# # # # mipagentconfig mipagentconfig mipagentconfig mipagentconfig change change change change MaxClockSkew 200 MN-FAauth yes Challenge yes KeyDistribution files
Cmo modificar la seccin Pool

Escriba el comando siguiente para cada etiqueta de la seccin Pool que quiera modificar.
# mipagentconfig change Pool pool-identifier <label> <value>
Ejemplo 284
Modificacin de la seccin Pool

En el ejemplo siguiente se muestran los comandos que se utilizan para cambiar la direccin base a 192.168.1.1 y el tamao de la agrupacin 10 a 100.
# mipagentconfig change Pool 10 BaseAddress 192.168.1.1 # mipagentconfig change Pool 10 Size 100
Cmo modificar la seccin SPI

748
Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin SPI:
# mipagentconfig change SPI SPI-identifier <label> <value>
Por ejemplo, si va a cambiar la clave de SPI 257 en 5af2aee39ff0b332, utilice el comando siguiente.
# mipagentconfig change SPI 257 Key 5af2aee39ff0b332
Ejemplo 285
Modificacin de la seccin SPI

En el ejemplo siguiente se indica cmo cambiar la etiqueta ReplayMethod en la seccin SPI del archivo de configuracin.
# mipagentconfig change SPI 257 ReplayMethod timestamps
Cmo modificar la seccin Address

Asuma la funcin de administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando siguiente para cada una de las etiquetas que quiera modificar en la seccin Address:
# mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>
Para ver una descripcin de los tres mtodos de configuracin (NAI, direccin IP y nodo predeterminado), consulte Seccin Address en la pgina 768. Por ejemplo, para modificar el SPI de la direccin IP 10.1.1.1 a 258, utilice el siguiente comando:
# mipagentconfig change addr 10.1.1.1 SPI 258
Ejemplo 286
Modificacin de la seccin Address

En el ejemplo siguiente se muestra cmo modificar los otros parmetros incluidos en la seccin Address del archivo de configuracin de ejemplo.
# mipagentconfig change addr 10.1.1.1 Type agent # mipagentconfig change addr 10.1.1.1 SPI 259 # mipagentconfig change addr mobilenode@abc.com Type node
# # # # # # #
mipagentconfig mipagentconfig mipagentconfig mipagentconfig mipagentconfig mipagentconfig mipagentconfig
change change change change change change change
addr mobilenode@abc.com SPI 258 addr mobilenode@abc.com Pool 2 addr node-default SPI 259 addr node-default Pool 3 addr 10.68.30.36 Type agent addr 10.68.30.36 SPI 260 IPsecRequest apply {auth_algs md5 sa shared}
Cmo agregar o eliminar parmetros del archivo de configuracin

Asuma la funcin de administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando correspondiente para cada etiqueta que quiera agregar o eliminar en la seccin designada:
Para la seccin General, utilice el siguiente comando:

# mipagentconfig [add | delete] <label> <value>
Para la seccin Advertisements, utilice el siguiente comando:

# mipagentconfig [add | delete] adv device-name <label> <value>
Nota Para agregar una interfaz, escriba lo siguiente: # mipagentconfig add adv device-name
En este caso se asignan a la interfaz valores predeterminados (tanto para el agente externo como para el interno).
Para la seccin GlobalSecurityParameters, utilice el siguiente comando:

# mipagentconfig [add | delete] <label> <value>
Para la seccin Pool, utilice el siguiente comando:

# mipagentconfig [add | delete] Pool pool-identifier <label> <value>
Para la seccin SPI, utilice el siguiente comando:
750
# mipagentconfig [add | delete] SPI SPI-identifier <label> <value>
Para la seccin Address, utilice el siguiente comando:

# mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \ <label> <value>
Nota No cree secciones Advertisements, Pool , SPI y Address idnticas.
Ejemplo 287
Modificacin de parmetros de archivo

Por ejemplo, para crear una nueva agrupacin de direcciones, Pool 11, con una direccin base de 192.167.1.1 y un tamao de 100, utilice estos comandos.
# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 # mipagentconfig add Pool 11 size 100
Ejemplo 288
Eliminacin de SPI
En el ejemplo siguiente se muestra cmo eliminar el parmetro de seguridad SPI SPI 257.
# mipagentconfig delete SPI 257
Cmo mostrar los valores actuales de los parmetros del archivo de configuracin
Se puede utilizar el comando mipagentconfig get para mostrar los valores actuales asociados con los destinos de los parmetros.
Asuma la funcin de Administrador principal, o convirtase en superusuario, en el sistema en el que quiera activar IP mvil. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Escriba el comando siguiente para cada uno de los parmetros cuyo valor quiera mostrar:
# mipagentconfig get [<parameter> | <label>]
Por ejemplo, si quiere mostrar los valores de anuncio del dispositivo hme0, utilice el siguiente comando:
# mipagentconfig get adv hme0
El resultado del comando ser una pantalla similar a la siguiente:

[Advertisements hme0] HomeAgent = yes ForeignAgent = yes
Ejemplo 289
Uso del comando mipagentconfig get para mostrar valores de parmetros

En el ejemplo siguiente se muestra el resultado del uso del comando mipagentconfig get con otros destinos de parmetros.
# mipagentconfig get MaxClockSkew [GlobalSecurityParameters] MaxClockSkew=300 # mipagentconfig get HA-FAauth [GlobalSecurityParameters] HA-FAauth=no # mipagentconfig get MN-FAauth [GlobalSecurityParameters] MN-FAauth=no # mipagentconfig get Challenge [GlobalSecurityParameters] Challenge=no # mipagentconfig get Pool 10 [Pool 10] BaseAddress=192.168.1.1 Size=100 # mipagentconfig get SPI 257 [SPI 257] Key=11111111111111111111111111111111 ReplayMethod=none # mipagentconfig get SPI 258 [SPI 258] Key=15111111111111111111111111111111 ReplayMethod=none # mipagentconfig get addr 10.1.1.1 [Address 10.1.1.1] SPI=258 Type=agent
752
Presentacin del estado del agente de movilidad
# mipagentconfig get addr 192.168.1.200 [Address 192.168.1.200] SPI=257 Type=node# mipagentconfig get addr 10.1.1.1 [Address 10.1.1.1] Type=agent SPI=258 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}

Puede utilizar el comando mipagentstat para mostrar la lista de visitantes del agente externo y la tabla de enlace del agente interno. EnEstado de un agente de movilidad de IP para mviles en la pgina 773 se ofrece una descripcin conceptual del uso del comando mipagentstat. Tambin puede consultar la pgina de comando man mipagentstat(1M).
Cmo mostrar el estado del agente de movilidad

Convirtase en superusuario o asuma una funcin equivalente en el sistema en el que va a activar IP mvil. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Muestre el estado del agente de movilidad.
# mipagentstat options
-f -h -p
Muestra la lista de nodos mviles activos en la lista de visitantes del agente externo. Muestra la lista de nodos mviles activos en la tabla de enlace del agente interno. Muestra la lista de asociaciones de seguridad con los agentes de movilidad equivalentes de un agente.
Ejemplo 2810

En este ejemplo se indica cmo mostrar la lista de visitantes de todos los nodos mviles registrados con un agente externo.
# mipagentstat -f
El resultado ser una pantalla similar a la siguiente:

Presentacin de las rutas de movilidad de un agente externo
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com ha1.xyz.com 600 10.1.5.23 10.1.5.1 1000
Home Agent
Time (s) Remaining --------125 10
Flags ----.....T. .....T.
En este ejemplo se indica cmo mostrar las asociaciones de seguridad de un agente externo.
# mipagentstat -p

Foreign Agent ---------------------forn-agent.eng.sun.com ..... Security Association(s)..... Requests Replies FTunnel RTunnel -------- -------- -------- -------AH AH ESP ESP
En este ejemplo se indica cmo mostrar las asociaciones de seguridad de un agente interno.
# mipagentstat -fp

Home Agent ---------------------home-agent.eng.sun.com ha1.xyz.com ..... Security Association(s) ..... Requests Replies FTunnel RTunnel -------- -------- -------- -------AH AH ESP ESP AH,ESP AH AH,ESP AH,ESP

Utilice el comando netstat para mostrar informacin adicional acerca de rutas especficas de cada origen creadas mediante tneles directos e inversos. Para ms informacin acerca de este comando consulte la pgina de comando man netstat(1M).
754
Cmo mostrar las rutas de movilidad de un agente externo

Convirtase en superusuario o asuma una funcin equivalente en el sistema en el que va a activar IP mvil. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Muestre las rutas de movilidad.
# netstat -rn
Ejemplo 2811

En el ejemplo siguiente se muestran las rutas para un agente externo que utiliza un tnel inverso.
Routing Table: IPv4 Source-Specific Destination In If Source Gateway Flags Use Out If -------------- ------- ------------ --------- ----- ---- ------10.6.32.11 ip.tun1 -10.6.32.97 UH 0 hme1 -hme1 10.6.32.11 -U 0 ip.tun1
La primera lnea indica que la direccin IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvo de los paquetes. La lnea siguiente indica que cualquier paquete que se origine desde la interfaz hme1 y la direccin de origen 10.6.32.11 debe reenviarse a ip.tun1.
755
756
C A P T U L O
Archivos y comandos de IP para mviles (referencia)
29
2 9
En este captulo se describen los componentes incluidos en la implementacin de Solaris de IP para mviles. Para utilizar IP para mviles deber en primer lugar crear el archivo de configuracin de IP para mviles mediante los parmetros y comandos que se describen en este captulo. Este captulo contiene la informacin siguiente:

Descripcin general de la implementacin de IP para mviles en Solaris en la pgina 757 Archivo de configuracin de IP para mviles en la pgina 758 Configuracin del agente de movilidad IP en la pgina 772 Estado de un agente de movilidad de IP para mviles en la pgina 773 Informacin de estado de IP para mviles en la pgina 774 Extensiones de netstat para IP para mviles en la pgina 774 Extensiones snoop de IP para mviles en la pgina 775
Nota La funcin IP mvil se suprime de las actualizaciones de Solaris 10 posteriores a Solaris 10 8/07.
Descripcin general de la implementacin de IP para mviles en Solaris

El software de agente de movilidad incorpora las funciones de agente interno y agente externo. El software de IP mvil de Solaris no ofrece un nodo mvil cliente. nicamente se ofrece la funcionalidad de agente. Todas las redes compatibles con movilidad deben tener al menos un host esttico (no mvil) que ejecute este software. La implementacin de IP para mviles en Solaris es compatible con las siguientes funciones RFC:
757
Archivo de configuracin de IP para mviles
RFC 1918, "Address Allocation for Private Internets" (http://www.ietf.org/rfc/ rfc1918.txt?number=1918) RFC 2002, "IP Mobility Support" (Agent only) (http://www.ietf.org/rfc/ rfc2002.txt?number=2002) RFC 2003, "IP Encapsulation Within IP" (http://www.ietf.org/rfc/ rfc2003.txt?number=2003) RFC 2794, "Mobile IP Network Access Identifier Extension for IPv4" (http://www.ietf.org/rfc/rfc2794.txt?number=2794) RFC 3012, "Mobile IPv4 Challenge/Response Extensions" (http://www.ietf.org/rfc/ rfc3012.txt?number=3012) RFC 3024, "Reverse Tunneling for Mobile IP" (http://www.ietf.org/rfc/ rfc3024.txt?number=3024)
El protocolo de IP para mviles bsico (RFC 2002) no resuelve el problema de distribucin de claves ampliable y trata la distribucin de claves como un problema ortogonal. El software IP para mviles de Solaris utiliza nicamente claves configuradas manualmente, que se especifican en un archivo de configuracin. Las siguientes funciones RFC no son compatibles con la implementacin Solaris de IP para mviles:
RFC 1701, "General Routing Encapsulation" (http://www.ietf.org/rfc/ rfc1701.txt?number-1701) RFC 2004, "Minimal Encapsulation Within IP" (http://www.ietf.org/rfc/ rfc2004.txt?number=2004)
Las siguientes funciones no son compatibles con la implementacin Solaris de IP para mviles:
El reenvo de trfico de multidifusin o de difusin del agente interno al agente externo para un .n, que est visitando una red externa. El encaminamiento de datagramas de deifusin y multidifusin a travs de tneles inversos. Las direcciones de auxilio privadas o las direcciones de agente interno privadas.
Para obtener ms informacin, consulte la pgina de comando man mipagent(1M).

El comando mipagent lee informacin de configuracin del archivo /etc/inet/mipagent.conf al inicio. IP para mviles utiliza el archivo de configuracin /etc/inet/mipagentconfiguracin para inicializar el agente de movilidad de IP para mviles. Al configurarlo e implantarlo, el agente de movilidad emite anuncios de encaminador peridicos y responde a mensajes de solicitud de encaminador, y a mensajes de registro de IP para mviles.
Consulte la pgina de comando man mipagent.conf(4) para ver una descripcin de los atributos de archivo. Consulte la pgina de comando man mipagent(1M) para ver una descripcin del uso de este archivo.
Formato del archivo de configuracin

El archivo de configuracin de IP para mviles est dividido en secciones. Cada seccin tiene un nombre exclusivo escrito entre corchetes. Cada seccin contiene una o ms etiquetas. Para asignar valores a las etiquetas, utilice el siguiente formato:
[Section_name] Label-name = value-assigned
Secciones y etiquetas del archivo de configuracin en la pgina 763 describe los nombres de seccin, las etiquetas y los posibles valores.
Ejemplos de archivos de configuracin

En la instalacin predeterminada de Solaris se incluyen los siguientes archivos de configuracin en el directorio /etc/inet:
mipagentconfiguracin-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece funciones de agente externo e interno mipagentconfiguracin.fa-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece nicamente funciones de agente externo mipagentconfiguracin.ha-sample Contiene un ejemplo de configuracin para un agente de IP para mviles que ofrece nicamente funciones de agente interno
Estos archivos de configuracin de ejemplo contienen parmetros de direccin y seguridad de nodo mvil. Antes de poder implementar IP para mviles, se debe crear un archivo de configuracin con el nombre mipagent.conf y situarlo en el directorio /etc/inet. Este archivo contiene los valores de configuracin adecuados para los requisitos de su implementacin de IP para mviles. Tambin puede elgir uno de los archivos de configuracin de ejemplo, modificarlo con sus valores de direcciones y seguridad y copiarlo en /etc/inet/mipagent.conf. Para ms informacin, consulte Creacin del archivo de configuracin de IP mvil en la pgina 741.
Archivomipagentconfiguracin-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin-sample. Secciones y etiquetas del archivo de configuracin en la pgina 763 describe la sintaxis, secciones, etiquetas y valores.
Captulo 29 Archivos y comandos de IP para mviles (referencia) 759
# version number for the configuration file. (required)
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = no ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4 [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1 [Address 10.68.30.36]
Type = agent SPI = 257[Address 10.68.30.36] Type = agent SPI = 257 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
Archivo mipagentconfiguracin.fa-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin.fa-sample. Secciones y etiquetas del archivo de configuracin en la pgina 763 describe la sintaxis, secciones, etiquetas y valores. El archivo mipagentconfiguracin.fa-sample muestra una configuracin que ofrece nicamente funciones de agente externo. Este archivo de ejemplo no contiene una seccin Pool (Agrupacin) porque las agrupaciones solo las emplean los agentes internos. Por lo dems, el archivo es idntico a mipagent.confsample.
[Advertisements hme0] HomeAgent = no ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111
Captulo 29 Archivos y comandos de IP para mviles (referencia)
761
[Address 10.1.1.1] Type = node SPI = 258 [Address 10.68.30.36] Type = agent SPI = 257[Address 10.68.30.36] Type = agent SPI = 257 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
Archivo mipagentconfiguracin.ha-sample
En el listado siguiente se muestran las secciones, etiquetas y valores que contiene el archivo mipagentconfiguracin.ha-sample. Secciones y etiquetas del archivo de configuracin en la pgina 763 describe la sintaxis, secciones, etiquetas y valores. El archivo mipagentconfiguracin.ha-sample muestra una configuracin que ofrece nicamente funciones de agente interno. Por lo dems, el archivo es idntico a mipagentconfiguracin-sample.
[Advertisements hme0] HomeAgent = yes ForeignAgent = no PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4
762
[SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1[Address 10.68.30.36] Type = agent SPI = 257 IPsecRequest = apply {auth_algs md5 sa shared} IPsecReply = permit {auth_algs md5} IPsecTunnel = apply {encr_algs 3des sa shared}
Secciones y etiquetas del archivo de configuracin

El archivo de configuracin de IP para mviles se compone de las secciones siguientes:

General (obligatoria) Advertisements (obligatoria) GlobalSecurityParameters (opcional) Pool (opcional) SPI (opcional) Address (opcional)
Las secciones General y GlobalSecurityParameters contienen informacin relativa al funcionamiento del agente de IP para mviles. Estas secciones solo pueden aparecer una vez en el archivo de configuracin.
Seccin General
La seccin General slo contiene una etiqueta: el nmero de versin del archivo de configuracin. La sintaxis de la seccin General es la siguiente:
Seccin Advertisements
La seccin Advertisements contiene las etiquetas HomeAgent y ForeignAgent y otras. Se debe incluir una seccin Advertisements distinta para cada interfaz del host local que ofrezca servicios de IP para mviles. La sintaxis de la seccin Advertisements es la siguiente:
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> . .
Generalmente, un sistema tiene una nica interfaz, por ejemplo eri0 o hme0, y admite operaciones de agente interno y de agente externo. Si se da esta situacin para el ejemplo hme0, el valor yes se asigna a las etiquetas HomeAgent y ForeignAgent, como se indica a continuacin:
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes . .
Para anuncios a travs de interfaces dinmicas, utilice '*' en la parte de ID de dispositivo. Por ejemplo, nombre_interfaz ppp* implica en realidad que se han iniciado todas las interfaces PPP configuradas despus del daemon mipagent. Todos los atributos de la seccin Advertisements de una interfaz dinmica permanecen iguales. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Advertisements.
TABLA 291 Etiqueta
Etiquetas y valores en la seccin Advertisements

Valor Descripcin
HomeAgent
yes o no yes o no yes o no yes o no
Determina si el daemon mipagent proporciona funcionalidad de agente interno. Determina si el daemon mipagent proporciona funcionalidad de agente externo. Especifica si los anuncios incluyen la extensin prefix-length opcional. Si es yes, los anuncios se envan por 255.255.255.255, en lugar de por 224.0.0.1.
ForeignAgent
PrefixFlags
AdvertiseOnBcast
764
TABLA 291 Etiqueta
Etiquetas y valores en la seccin Advertisements

Valor
(Continuacin)
Descripcin
RegLifetime
Valor de periodo de vida mximo aceptado en las solicitudes de registro, en segundos. Periodo de tiempo mximo que el anuncio se considera vlido en ausencia de otros anuncios, en segundos. Tiempo entre dos anuncios consecutivos, en segundos.
AdvLifetime
AdvFrequency
ReverseTunnel
yes o noFA o HA o both Determina si mipagent ofrece la funcin de tnel inverso. El valor yes implica que tanto el agente externo como el interno admiten tnel inverso. El valor no significa que la interfaz no admite tnel inverso. El valor FA significa que el agente externo admite tnel inverso. El valor HA significa que el agente interno admite tnel inverso. El valor both implica que tanto el agente externo como el interno admiten tnel inverso.
ReverseTunnelRequired
yes o no
Determina si mipagent requiere la funcin de tnel inverso. En consecuencia, determina si un nodo mvil debe solicitar un tnel inverso durante el registro. El valor yes implica que tanto el agente externo como el interno requieren tnel inverso. El valor no significa que la interfaz no requiere tnel inverso. El valor FA significa que el agente externo requiere un tnel inverso. El valor HA significa que el agente interno requiere un tnel inverso.
AdvInitCount
Determina el nmero inicial de anuncios no solicitados. El valor predeterminado es 1. Este valor slo es significativo si AdvLimitUnsolicited es yes. Activa o desactiva un nmero limitado de anuncios no solicitados a travs de la interfaz de movilidad.
AdvLimitUnsolicited
yes o no
Seccin GlobalSecurityParameters
La seccin GlobalSecurityParameters contiene las etiquetas maxClockSkew, HA-FAauth, MN-FAauth, Challenge y KeyDistribution. La sintaxis de la seccin es la siguiente:
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no>
MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
El protocolo IP para mviles ofrece proteccin de repeticin de mensajes por el procedimiento de permitir la presencia de marcas de tiempo en los mensajes. Si las horas difieren, el agente interno devuelve un error al nodo mvil con la hora actual y el nodo puede volver a registrarse utilizando la hora actual. La etiqueta MaxClockSkew se utiliza para configurar el nmero mximo de segundos de diferencia entre los relojes del agente interno y del agente externo. El valor predeterminado es de 300 segundos. Las etiquetas HA-FAauth y MN-FAauth activan o desactivan el requisito de autenticacin interna-externa o mvil-externa, respectivamente. El valor predeterminado es desactivado. La etiqueta challenge se utiliza para que el agente externo emita desafos al nodo mvil en sus anuncios. La etiqueta se usa para proteccin de repeticin. El valor predeterminado es tambin desactivado. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin GlobalSecurityParameters.
TABLA 292 Etiqueta
Etiquetas y valores de la seccin GlobalSecurityParameters

Valor Descripcin
MaxClockSkew
Nmero de segundos que mipagent acepta como diferencia entre su propia hora local y la encontrada en las solicitudes de registro Especifica si deben estar presentes las extensiones de autenticacin de agente interno-agente externo en las solicitudes y respuestas de registro Especifica si deben estar presentes las extensiones de autenticacin de nodo mvil-agente externo en las solicitudes y respuestas de registro Especifica si el agente externo incluye desafos en sus anuncios de movilidad Se le debe asignar el valor files
HA-FAauth
yes o no
MN-FAauth
yes o no
Challenge
yes o no files
KeyDistribution
Seccin Pool
El agente interno puede asignar a los nodos mviles direcciones dinmicas. La asignacin de direcciones dinmicas se lleva a cabo mediante el daemon mipagent de forma independiente de DHCP. Se puede crear una agrupacin de direcciones que los nodos mviles pueden utilizar mediante la solicitud de una direccin permanente. Las agrupaciones de direcciones se configuran mediante la seccin Pool del archivo de configuracin.
La seccin Pool contiene las etiquetas BaseAddress y Size. La sintaxis de la seccin Pool es la siguiente:
[Pool pool-identifier] BaseAddress = IP-address Size = size Nota Si utiliza un identificador Pool, tambin deber estar en la seccin Address del nodo
mvil. La seccin Pool se utiliza para definir agrupaciones de direcciones que se pueden asignar a los nodos mviles. La etiqueta BaseAddress se utiliza para establecer la primera direccin IP de la agrupacin. La etiqueta Size se utiliza para especificar el nmero de direcciones disponibles en la agrupacin. Por ejemplo, si las direcciones IP 192.168.1.1 a 192.168.1.100 estn reservadas en la agrupacin 10, la entrada de la seccin Pool ser la siguiente:
[Pool 10] BaseAddress = 192.168.1.1 Size = 100
Nota Los intervalos de direcciones no deben abarcar la direccin de difusin. Por ejemplo, no
se debe asignar BaseAddress = 192.168.1.200 y Size = 60, porque este rango abarca la direccin de difusin 192.168.1.255. En la tabla siguiente se describen las etiquetas y valores que se utilizan en la seccin Pool.
TABLA 293 Etiqueta
Etiquetas y valores de la seccin Pool

Valor Descripcin
BaseAddress Size
n.n.n.n n
Primera direccin de la agrupacin de direcciones Nmero de direcciones de la agrupacin
Seccin SPI
El protocolo de IP para mviles requiere autenticacin de mensajes, por lo tanto se debe identificar el contexto de seguridad mediante el ndice de parmetros de seguridad (SPI). El contexto de seguridad se define en la seccin SPI. Se debe incluir una seccin SPI distinta para cada contexto de seguridad definido. El contexto de seguridad se identifica con un cdigo numrico. El protocolo IP para mviles reserva los primeros 256 SPI. Por lo tanto, slo debe utilizar valores SPI superiores a 256. En la seccin SPI se puede encontrar informacin relacionada con la seguridad, como secretos compartidos y proteccin de repeticin.
La seccin SPI contiene tambin las etiquetas ReplayMethod y Key. La sintaxis de la seccin SPI es la siguiente:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
Dos equivalentes que se comuniquen deben compartir el mismo identificador SPI. Es necesario configurarlos con la misma clave y mtodo de repeticin. La clave se especifica en forma de cadena de dgitos hexadecimales. La longitud mxima es de 16 bytes. Por ejemplo, si la clave tiene una longitud de 16 bytes y contiene los valores hexadecimales 0 a f, el aspecto de la cadena de la clave ser similar a:
Key = 0102030405060708090a0b0c0d0e0f10
El nmero de dgitos de las claves debe ser par, para corresponderse con la representacin de dos dgitos por byte. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin SPI.
TABLA 294 Etiqueta
Etiquetas y valores de la seccin SPI

Valor Descripcin
ReplayMethod
none o timestamps x
Especifica el tipo de autenticacin de repeticin que se utiliza para el SPI Clave de autenticacin en hexadecimal
Key
Seccin Address
La implementacin de Solaris de IP para mviles permite configurar los nodos mviles con tres mtodos posibles. Cada mtodo se configura en la seccin Address. El primer mtodo sigue el protocolo IP para mviles tradicional, y exige que cada nodo mvil tenga una direccin permanente. El segundo mtodo permite identificar un nodo mvil mediante su Identificador de acceso de red (NAI). El ltimo mtodo permite configurar un nodo mvil predeterminado, que puede utilizar cualquier nodo mvil que tenga el valor de SPI adecuado y el material de clave relacionado.
Nodo mvil
La seccin Address de un nodo mvil contiene las etiquetas Type y SPI, que definen el tipo de direccin y el identificador SPI. La sintaxis de la seccin Address es la siguiente:
[Address address] Type = node SPI = SPI-identifier
Se debe incluir una seccin Address en el archivo de configuracin de un agente interno por cada nodo para mviles que se admita. Si se exige autenticacin de mensajes de IP para mviles entre el agente externo y el agente interno, se debe incluir una seccin Address por cada equivalente con el que un agente necesita comunicarse. El valor de SPI configurado debe representar una seccin SPI que est presente en el archivo de configuracin. Tambin puede configurar direcciones privadas para un nodo mvil. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Address de un nodo mvil.
TABLA 295 Etiqueta
Etiquetas y valores de la seccin Address (nodo mvil)

Valor Descripcin
Type SPI
nodo n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada
Agente de movilidad
La seccin Address de un agente de movilidad contiene las etiquetas Type y SPI, que definen el tipo de direccin y el identificador SPI. Esta seccin tambin contiene las etiquetas IPsecRequest, IPsecReply e IPsecTunnel. La seccin Address de un agente de movilidad presenta la siguiente sintaxis:
[Address address] Type = agent SPI = SPI-identifier IPsecRequest = action {properties} [: action {properties}] IPsecReply = action {properties} [: action {properties}] IPsecTunnel = action {properties} [: action {properties}]
Se debe incluir una seccin Address en el archivo de configuracin de un agente interno por cada agente de movilidad que se admita. Si se requiere autenticacin de mensajes IP entre los agentes interno y externo, debe incluirse una seccin Address para cada equivalente con el que un agente desee comunicarse. El valor de SPI configurado debe representar una seccin SPI que est presente en el archivo de configuracin. En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin Address de un agente de movilidad.
TABLA 296 Etiqueta
Etiquetas y valores de la seccin Address (agente de movilidad)

Valor Descripcin
Type
agent
Especifica que la entrada corresponde a un agente de movilidad Especifica el valor de SPI para la entrada asociada
SPI
IPsecRequest
apply o permit (ver nota Propiedades de IPsec que se deben invocar siguiente) para solicitudes de registro desde y hacia este equivalente de agente de movilidad apply o permit (ver nota Propiedades de IPsec que se deben invocar siguiente) para repuestas de registro desde y hacia este equivalente de agente de movilidad apply o permit (ver nota Propiedades de IPsec que se deben invocar siguiente) para trfico de tnel desde y hacia este equivalente de agente de movilidad
IPsecReply
IPsecTunnel
Nota Los valores apply corresponden a datagramas salientes. Los valores permit corresponden a datagramas entrantes. Por consiguiente, los valores de IPsecRequest apply y los valores de IPsecReply permit los utiliza el agente externo para enviar y recibir datagramas de registro. Los valores de IPsecRequest permit y los valores de IPsecReply apply los utiliza el agente interno para enviar y recibir datagramas de registro.
Nodo mvil identificado por su NAI

La seccin Address para un nodo mvil identificado mediante su NAI contiene las etiquetas Type, SPI y Pool. El parmetro NAI permite identificar nodos mviles a travs de su NAI. La sintaxis de la seccin Address con el parmetro NAI es la siguiente:
[Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier
Para utilizar agrupaciones, los nodos mviles se deben identificar mediante su NAI. La seccin Address permite configurar un NAI, en lugar de una direccin permanente. Un NAI tiene el formato usuario@dominio. La etiqueta Pool se utiliza para especificar la agrupacin de direcciones que se debe utilizar para asignar la direccin permanente al nodo mvil. En la tabla siguiente se describen las etiquetas y los valores que se pueden utilizar en la seccin Address para un nodo mvil identificado por su NAI.
TABLA 297 Etiqueta
Etiquetas y valores de la seccin Address (nodo mvil identificador por su NAI)

Valor Descripcin
Type SPI Pool
nodo n n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada Asigna la agrupacin desde la que se asigna una direccin a un nodo mvil
Deber tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una seccin Address con un nodo mvil identificado por su NAI, como se muestra en la figura siguiente.
SPI 251
POOL 10
DIRECCIN NAI SPI = 251 POOL = 10

FIGURA 291
Secciones SPI y Pool correspondientes para la seccin Address en un nodo mvil identificado
por su NAI
Nodo mvil predeterminado

La seccin Address para un nodo mvil predeterminado contiene las etiquetas Type, SPI y Pool. Con el parmetro Node-Default se puede dar permiso para que todos los nodos mviles obtengan servicio si tienen el SPI correcto (definido en esta seccin). La sintaxis de la seccin Address con el parmetro Node-Default es la siguiente:
[Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier
El parmetro Node-Default permite reducir el tamao del archivo de configuracin. En caso contrario, cada nodo mvil necesitara su propia seccin. Sin embargo, el parmetro Node-Default implica un riesgo de seguridad. Si un nodo mvil deja de ser de confianza, es necesario actualizar la informacin de seguridad en todos los nodos mviles de confianza. Se trata de una tarea muy tediosa. Sin embargo, se puede utilizar el parmetro Node-Default en redes en las que los riesgos de seguridad no tienen importancia.
Configuracin del agente de movilidad IP
En la tabla siguiente se describen las etiquetas y valores que se pueden utilizar en la seccin Address para un nodo mvil predeterminado.
TABLA 298 Etiqueta
Etiquetas y valores de la seccin Address (nodo mvil predeterminado)

Valor Descripcin
Type SPI Pool
nodo n n
Especifica que la entrada es para un nodo mvil Especifica el valor de SPI para la entrada asociada Asigna la agrupacin desde la que se asigna una direccin a un nodo mvil
Deber tener secciones SPI y Pool correspondientes a las etiquetas SPI y Pool definidas en una seccin Address con un nodo mvil predeterminado, como se muestra en la figura siguiente.
SPI 251
POOL 10
DIRECCIN NODO PREDETERMINADO SPI 251 POOL 10

FIGURA 292 Secciones SPI y Pool correspondientes para la seccin Address en un nodo mvil predeterminado
Configuracin del agente de movilidad IP

El comando mipagentconfig es apto para configurar el agente de movilidad. Este comando permite crear o modificar cualquier parmetro del archivo de configuracin /etc/inet/mipagentconfiguracin. Especficamente, se puede modificar cualquier configuracin. Tambin se pueden agregar o eliminar clientes de movilidad, agrupaciones y SPI. La sintaxis del comando mipagentconfig es la siguiente:
# mipagentconfig <command> <parameter> <value>
En la tabla siguiente se describen todos los comandos que se pueden utilizar con mipagentconfig para crear o modificar parmetros en el archivo de configuracin /etc/inet/mipagent.conf.
772
Estado de un agente de movilidad de IP para mviles
TABLA 299 Orden
Subcomandos de mipagentconfig
Descripcin
add
Se utiliza para agregar parmetros de anuncio, de seguridad, SPI y direcciones al archivo de configuracin Se utiliza para modificar parmetros de anuncio, de seguridad, SPI y direcciones en el archivo de configuracin Se utiliza para eliminar parmetros de anuncio, de seguridad, SPI y direcciones del archivo de configuracin Se utiliza para mostrar los valores actuales del archivo de configuracin
change
delete
get
Consulte la pgina del comando man mipagentconfig(1M)para ver una descripcin de los parmetros de los comandos y de los valores que pueden adquirir. En Modificacin del archivo de configuracin de IP mvil en la pgina 746 se detallan procedimientos que utilizan el comando mipagentconfig.
Estado de un agente de movilidad de IP para mviles

El comando mipagentstat se utiliza para obtener una lista de visitantes de agente externo y una tabla de enlace de agente interno. Tambin se pueden mostrar las asociaciones de seguridad con los agentes de movilidad equivalentes de un agente. Para mostrar la lista de visitantes del agente externo se debe utilizar el comando mipagentstat con la opcin -f. Para mostrar la tabla de enlace del agente interno se debe utilizar el comando mipagentstat con la opcin -h. Para mostrar las asociaciones de seguridad con los agentes de movilidad equivalentes de un agente se debe utilizar el comando mipagentstat con la opcin - p. En los ejemplos siguientes se muestran pantallas de salida tpicas del comando mipagentstat con las opciones mencionadas.
EJEMPLO 291
Lista de visitantes de agente externo Home Agent Time (s) Remaining --------125 10 Flags ----.....T. .....T.
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com ha1.xyz.com 600 10.1.5.23 10.1.5.1 1000
EJEMPLO 292
Tabla de enlace de agente interno Home Agent Time (s) Remaining --------125 10 Flags ----.....T. .....T.
773
Mobile Node
Time (s) Granted --------------- -------------- -----------foobar.xyz.com fa1.tuv.com 600 10.1.5.23 123.2.5.12 1000
Informacin de estado de IP para mviles
EJEMPLO 293
Tabla de asociacin de seguridad de equivalente de agente de movilidad ..... Security Association(s)..... Requests Replies FTunnel RTunnel -------- -------- -------- -------AH AH ESP ESP ..... Security Association(s) ..... Requests Replies FTunnel RTunnel -------- -------- -------- -------AH AH ESP ESP AH,ESP AH AH,ESP AH,ESP
Foreign Agent ---------------------forn-agent.eng.sun.com Home Agent ---------------------home-agent.eng.sun.com ha1.xyz.com
Consulte la pgina de comando man mipagentstat(1M) para obtener ms informacin sobre las opciones del comando. En Presentacin del estado del agente de movilidad en la pgina 753 se detallan procedimientos que utilizan el comando mipagentstat.
Informacin de estado de IP para mviles

Al cerrarse, el daemon mipagent almacena la informacin de estado interna en /var/inet/mipagent_state. Esto ocurre cuando mipagent ofrece servicios como agente interno. Esta informacin de estado incluye la lista de nodos mviles a los que ofrece servicio como agente interno, sus direcciones de auxilio actuales y los tiempos de registro restantes. En esta informacin se incluye tambin la configuracin de asociacin de seguridad con los agentes de movilidad equivalentes. Si el daemon mipagent se cierra por mantenimiento y luego se reinicia, mipagent_state se utiliza para volver a crear el estado interno del agente de movilidad con la mxima fidelidad posible. La intencin es minimizar la interrupcin de servicio en los nodos mviles que pueden estar visitando otras redes. Si existe mipagent_state, se lee inmediatamente despus de mipagent.conf cada vez que se inicia o reinicia mipagent.
Extensiones de netstat para IP para mviles

Se han agregado extensiones para IP para mviles al comando netstat para identificar rutas de reenvo de IP para mviles. En concreto, se puede utilizar el comando netstat para mostrar una nueva tabla de encaminamiento denominada "Source-Specific". Consulte la pgina de comando man netstat(1M) para obtener ms informacin. En el ejemplo siguiente se muestra la salida de netstat cuando se utilizan los indicadores -nr.
EJEMPLO 294
Salida de IP para mviles del comando netstat
Routing Table: IPv4 Source-Specific Destination In If Source Gateway Flags Use Out If -------------- ------- ------------ --------- ----- ---- ------774 Gua de administracin del sistema: servicios IP Octubre de 2009
Extensiones snoop de IP para mviles
EJEMPLO 294
Salida de IP para mviles del comando netstat ip.tun1 -hme1 10.6.32.11 10.6.32.97 UH -U
(Continuacin) 0 hme1 0 ip.tun1
10.6.32.11 --
En el ejemplo se muestran las rutas para un agente externo que utiliza un tnel inverso. La primera lnea indica que la direccin IP de destino 10.6.32.11 y la interfaz entrante ip.tun1 seleccionan hme1 como interfaz de reenvo de los paquetes. La siguiente lnea indica que todos los paquetes con origen en la interfaz hme1 y la direccin de origen 10.6.32.11 deben reenviarse a ip.tun1.
Extensiones snoop de IP para mviles

Se han agregado extensiones para IP para mviles al comando snoop para identificar el trfico de IP para mviles en el enlace. Consulte la pgina de comando man snoop(1M) para obtener ms informacin. En el ejemplo siguiente se muestra la salida de snoop que se ejecuta en el nodo mvil mip-mn2.
EJEMPLO 295
Salida de IP para mviles del comando snoop
mip-mn2# snoop Using device /dev/hme (promiscuous mode) mip-fa2 -> 224.0.0.1 ICMP Router advertisement (Lifetime 200s [1]: {mip-fa2-80 2147483648}), (Mobility Agent Extension), (Prefix Lengths), (Padding) mip-mn2 -> mip-fa2 Mobile IP reg rqst mip-fa2 -> mip-mn2 Mobile IP reg reply (OK code 0)
En este ejemplo se muestra que el nodo mvil ha recibido uno de los anuncios de agente de movilidad enviados peridicamente desde el agente externo, mip-fa2. A continuacin, mip-mn2 ha enviado una solicitud de registro a mip-fa2 y, a cambio, ha recibido una respuesta de registro. En la respuesta se indica que el nodo mvil se ha registrado satisfactoriamente con su agente interno. El comando snoop admite tambin extensiones de IPsec. Por tanto, se puede mostrar de qu modo se protegen los paquetes de registro y de tnel.
775
776
P A R T E
V I
IPMP
Esta parte introduce las mltiples rutas de redes IP (IPMP) y contiene las tareas necesarias para administrar IPMP. IPMP proporciona funciones de deteccin de fallos y conmutacin por error para las interfaces de un sistema que estn conectadas al mismo vnculo.
777
778
C A P T U L O
Introduccin a IPMP (descripcin general)
30
3 0
Las mltiples rutas de redes IP (IPMP) detectan los fallos en la interfaz fsica y conmutan por error el acceso a la red de forma transparente para un sistema con varias interfaces en el mismo vnculo IP. IPMP tambin permite repartir la carga de los paquetes para los sistemas con varias interfaces. Este captulo contiene la informacin siguiente:

Por qu debe utilizar IPMP en la pgina 779 Requisitos bsicos de IPMP en la pgina 783 Direcciones IPMP en la pgina 784 Componentes IPMP de Solaris en la pgina 780 Configuraciones de interfaces IPMP en la pgina 786 Funciones de deteccin de fallos IPMP y recuperacin en la pgina 788 IPMP y reconfiguracin dinmica en la pgina 792
Para conocer las tareas de configuracin de IPMP, consulte el Captulo 31, Administracin de IPMP (tareas).
Por qu debe utilizar IPMP

IPMP ofrece una mayor fiabilidad, disponibilidad y rendimiento de la red para los sistemas con mltiples interfaces fsicas. Ocasionalmente, una interfaz fsica o el hardware de red conectado a la interfaz podran fallar o requerir mantenimiento. Por norma general, en ese punto, ya no es posible contactar con el sistema mediante cualquiera de las direcciones IP que estn asociadas con la interfaz fallida. Asimismo, se interrumpe cualquier conexin con el sistema que utilice dichas direcciones IP. Gracias a IPMP, puede configurar una o ms interfaces fsicas en un grupo de mltiples rutas IP o grupo IPMP. Despus de configurar IPMP, el sistema supervisa automticamente las interfaces del grupo IPMP para detectar posibles errores. Si falla una interfaz del grupo o se elimina para fines de mantenimiento, IPMP migra automticamente o hace que fallen las
779
direcciones IP de la interfaz fallida. El destinatario de estas direcciones es una interfaz en funcionamiento del grupo IPMP de la interfaz fallida. La funcin de conmutacin tras error de IPMP mantiene la conectividad e impide la interrupcin de cualquier conexin. Asimismo, IPMP mejora el rendimiento global de la red al expandir automticamente el trfico de la red por un conjunto de interfaces del grupo IPMP. Este proceso se denomina expansin de carga.
Componentes IPMP de Solaris

IPMP de Solaris implica el siguiente software:
El daemon in.mpathd, que se describe detalladamente en la pgina del comando man in.mpathd(1M). El archivo de configuracin /etc/default/mpathd, que tambin se describe en la pgina del comando man in.mpathd(1M). Opciones ifconfig para la configuracin de IPMP, tal como se describe en la pgina del comando man ifconfig(1M).
Daemon de mltiples rutas, in.mpathd

El daemon in.mpathd detecta los fallos de la interfaz y, a continuacin, implementa varios procedimientos para la conmutacin y recuperacin tras error. Si in.mpathd detecta un fallo o una reparacin, el daemon enva un comando ioctl para llevar a cabo la conmutacin o recuperacin tras error. El mdulo de ncleo ip, que implementa ioctl, lleva a cabo la conmutacin por error de acceso de red de modo transparente y automtico.
Nota No utilice las rutas alternativas si utiliza IPMP en el mismo conjunto de tarjetas de interfaz de red. Tampoco debe utilizar IPMP mientras utiliza las rutas alternativas. Puede utilizar las rutas alternativas e IPMP de forma simultnea en diferentes conjuntos de interfaces. Para obtener mas informacin sobre las rutas alternativas, consulte Sun Enterprise Server Alternate Pathing 2.3.1 User Guide.
El daemon in.mpathd detecta fallos y reparaciones enviando sondeos a todas las interfaces que forman parte de un grupo IPMP. El daemon in.mpathd tambin detecta fallos y reparaciones supervisando el indicador RUNNING en cada interfaz del grupo. Consulte la pgina del comando man in.mpathd(1M) para obtener ms informacin.
Nota No se admite DHCP para administrar direcciones de datos IPMP. Si intenta utilizar DHCP en estas direcciones, DHCP finalmente abandonar el control de dichas direcciones. No utilice DHCP en las direcciones de datos.
780
Terminologa y conceptos de IPMP

En esta seccin se introducen los trminos y conceptos que se utilizan en los captulos sobre IPMP de esta gua.
Vnculo IP
En terminologa IPMP, un vnculo IP es una utilidad de comunicacin o medio a travs del cual los nodos se pueden comunicar en la capa del vnculo de datos del conjunto de protocolos de Internet. Los tipos de vnculos IP podran incluir redes Ethernet simples, Ethernet con puente, concentradores o redes de modalidad de transferencia asncrona (ATM). Un vnculo IP puede tener uno o ms nmeros de subred IPv4 y, si es preciso, uno o ms prefijos de subred IPv6. No se puede asignar el mismo nmero o prefijo de subred a ms de un vnculo IP. En ATM LANE, un vnculo IP es una sola red de rea local (LAN) emulada. Con el protocolo de resolucin de direcciones (ARP), el alcance del protocolo ARP es un nico vnculo IP.
Nota Otros documentos relacionados con IP, como RFC 2460, Internet Protocol, Version 6 (IPv6) Specification, utilizan el trmino vnculo en lugar de vnculo IP. La parte VI utiliza el trmino vnculo IP para evitar la confusin con IEEE 802. En IEEE 802, vnculo hace referencia a una nica conexin entre una tarjeta de interfaz de red Ethernet (NIC) y un conmutador Ethernet.
Interfaz fsica
La interfaz fsica proporciona una conexin del sistema con un vnculo IP. Esta conexin se suele implementar como un controlador de dispositivos y una NIC. Si un sistema tiene varias interfaces conectadas al mismo vnculo, puede configurar IPMP para que lleve a cabo la conmutacin por error si falla una de las interfaces. Para obtener mas informacin sobre las interfaces fsicas, consulte Configuraciones de interfaces IPMP en la pgina 786.
Tarjeta de interfaz de red

Una tarjeta de interfaz de red es un adaptador de red que se puede integrar en el sistema. Una NIC tambin puede ser una tarjeta independiente que acte como interfaz de un sistema a un vnculo IP. Algunas NIC pueden tener varias interfaces fsicas. Por ejemplo, una NIC qfe puede tener cuatro interfaces, de qfe0 a qfe3, etc.
Grupo IPMP
Un grupo de mltiples rutas IP, o grupo IPMP, se compone de una o ms interfaces fsicas en el mismo sistema configuradas con el mismo nombre de grupo IPMP. Todas las interfaces del grupo IPMP deben estar conectadas al mismo vnculo IP. El mismo nombre de grupo IPMP de cadena de caracteres (no nula) identifica a todas las interfaces del grupo. Puede colocar interfaces de NIC de diferentes velocidades en el mismo grupo IPMP, siempre que las NIC sean
Captulo 30 Introduccin a IPMP (descripcin general) 781
del mismo tipo. Por ejemplo, en el mismo grupo puede configurar las interfaces de NIC Ethernet de 100 megabits y las interfaces de NIC Ethernet de 1 gigabit. A modo de ejemplo, supongamos que tiene dos tarjetas NIC Ethernet de 100 megabits. Puede configurar una de las interfaces con 10 megabits y seguir colocando las dos interfaces en el mismo grupo IPMP. No es posible colocar dos interfaces de distintos tipos de medios en un grupo IPMP. Por ejemplo, no puede colocar una interfaz ATM en el mismo grupo que una interfaz Ethernet.
Deteccin de fallos y conmutacin por error

La deteccin de fallos es el proceso de detectar si una interfaz o su ruta a un dispositivo de capa de Internet han dejado de funcionar. IPMP ofrece a los sistemas la posibilidad de detectar si una interfaz ha fallado. IPMP detecta los siguientes tipos de fallos de comunicacin:

La ruta de transmisin o recepcin de la interfaz han fallado. La conexin de la interfaz al vnculo IP est inactiva. El puerto del conmutador no transmite ni recibe paquetes. La interfaz fsica de un grupo IPMP no est presente en el arranque del sistema.
Tras detectar un fallo, IPMP inicia la conmutacin por error. La conmutacin por error es el proceso automtico de conmutar el acceso de red de una interfaz fallida a una interfaz fsica que funcione del mismo grupo. El acceso a red incluye unidifusin, multidifusin y trfico de emisin IPv4, as como unidifusin, multidifusin y trfico de emisin IPv6. La conmutacin por error slo se produce si se ha configurado ms de una interfaz en el grupo IPMP. El proceso de conmutacin por error garantiza un acceso ininterrumpido a la red.
Deteccin de reparaciones y recuperacin tras los errores

La deteccin de reparaciones es el proceso de detectar si una tarjeta NIC o la ruta de una NIC a un dispositivo de capa de Internet empieza a funcionar correctamente tras un error. Tras detectar si una NIC se ha reparado, IPMP lleva a cabo la recuperacin tras los errores, el proceso de restablecer el acceso a la red para la interfaz reparada. La deteccin de reparaciones da por sentado que se ha activado la funcin de recuperacin tras los errores. Consulte Deteccin de reparaciones de interfaces fsicas en la pgina 790 para obtener ms informacin.
Sistemas de destino
La deteccin de errores basada en sondeos utiliza los sistemas de destino para determinar la condicin de una interfaz. Cada sistema de destino debe estar conectado al mismo vnculo IP que los miembros del grupo IPMP. El daemon in.mpathd del sistema local enva mensajes de sondeo de ICMP a cada sistema de destino. Los mensajes de sondeo ayudan a determinar el estado de cada interfaz del grupo IPMP. Para obtener ms informacin sobre el uso del sistema de destino en la deteccin de fallos basada en sondeos, consulte Deteccin de fallos basada en sondeos en la pgina 789.
Requisitos bsicos de IPMP
Expansin de la carga saliente

Con IPMP configurado, los paquetes de red salientes se reparten en varias NIC sin que ello afecte al orden de los paquetes. Este proceso se conoce como expansin de carga. Como consecuencia de la expansin de carga, se obtiene un mayor rendimiento. La expansin de carga slo se produce cuando el trfico de red fluye hacia varios destinos que utilizan mltiples conexiones.
Reconfiguracin dinmica
La reconfiguracin dinmica (DR) es la capacidad de volver a configurar un sistema mientras se ejecuta, prcticamente con ningn impacto o con ninguno en absoluto en las operaciones en curso. No todas las plataformas de Sun admiten DR. Es posible que algunas plataformas de Sun slo admitan DR de determinados tipos de hardware. En las plataformas que admiten DR de NIC, se puede utilizar IPMP para conmutar por error de modo transparente el acceso de red y proporcionar acceso de red ininterrumpido al sistema. Para obtener ms informacin sobre cmo IPMP admite DR, consulte IPMP y reconfiguracin dinmica en la pgina 792.
Requisitos bsicos de IPMP

IPMP se integra en el sistema operativo Solaris (Solaris OS) y no requiere ningn hardware especial. Cualquier interfaz que admita el sistema operativo Solaris se puede utilizar con IPMP. Sin embargo, IPMP impone los siguientes requisitos de topologa y configuracin de la red:
Todas las interfaces de un grupo IPMP deben tener direcciones MAC nicas. De modo predeterminado, todas las interfaces de red de sistemas basados en SPARC comparten una nica direccin MAC. De este modo, debe cambiar explcitamente la configuracin predeterminada para poder utilizar IPMP en sistemas basados en SPARC. Para obtener ms informacin, consulte Cmo planificar un grupo IPMP en la pgina 799.
Todas las interfaces de un grupo IPMP deben tener el mismo tipo de medio. Si desea ms informacin, consulte Grupo IPMP en la pgina 781. Todas las interfaces de un grupo IPMP deben estar conectadas al mismo vnculo IP. Si desea ms informacin, consulte Grupo IPMP en la pgina 781. En funcin de los requisitos de deteccin de fallos, es posible que deba utilizar tipos especficos de interfaces de red o configurar direcciones IP adicionales en cada interfaz de red. Consulte Deteccin de fallos basada en vnculos en la pgina 788 y Deteccin de fallos basada en sondeos en la pgina 789.
Captulo 30 Introduccin a IPMP (descripcin general)
783
Direcciones IPMP
Direcciones IPMP
Puede configurar la deteccin de fallos IPMP en redes IPv4 y de pila doble, y redes IPv4 e IPv6. Las interfaces que se configuran con IPMP admiten dos tipos de direcciones: direcciones de datos y direcciones de prueba.
Direcciones de datos
Las direcciones de datos son direcciones IPv4 e IPv6 convencionales que se asignan a una interfaz de NIC durante el arranque o manualmente mediante el comando ifconfig. El trfico de paquetes IPv4 estndar y, si es aplicable, el trfico de paquetes IPv6 mediante una interfaz se considera trfico de datos.
Direcciones de prueba
Las direcciones de prueba son direcciones especficas IPMP que utiliza el daemon in.mpathd. Para que una interfaz utilice la deteccin de fallos basada en sondeos y la reparacin, debe estar configurada como mnimo con una direccin de prueba.
Nota Slo es necesario configurar direcciones de prueba si se va a utilizar la deteccin de fallos basada en sondeos.
El daemon in.mpathd utiliza las direcciones de prueba para el intercambio de sondeos ICMP (denominado tambin trfico de sondeos) con otros destinos del vnculo IP. El trfico de sondeos ayuda a determinar el estado de la interfaz y su NIC, incluida la informacin sobre si una interfaz ha fallado. Los sondeos verifican que la ruta de envo y recepcin de la interfaz est funcionando correctamente. Cada interfaz puede configurarse con una direccin de prueba IP. Para una interfaz de una red de doble pila, puede configurar una direccin de prueba IPv4, una direccin de prueba IPv6 o tanto la direccin de prueba IPv4 como la IPv6. Tras el fallo de una interfaz, las direcciones de prueba permanecen en la interfaz fallida de modo que in.mpathd puede seguir enviando sondeos para comprobar las posteriores reparaciones. Debe configurar de modo especfico las direcciones de prueba para que las aplicaciones no las utilicen por accidente. Para ms informacin, consulte Cmo evitar que las aplicaciones utilicen direcciones de prueba en la pgina 786. Para ms informacin sobre la deteccin de fallos basada en sondeos, consulte Deteccin de fallos basada en sondeos en la pgina 789.
Direcciones IPMP
Direcciones de prueba IPv4

En general, puede utilizar cualquier direccin IPv4 de la subred como direccin de prueba. Las direcciones de prueba IPv4 no necesitan ser enrutables. Dado que las direcciones IPv4 son un recurso limitado para muchos sitios, puede utilizar direcciones privadas RFC 1918 no enrutables como direcciones de prueba. Observe que el daemon in.mpathd intercambia slo sondeos ICMP con otros hosts que se encuentran en la misma subred que la direccin de prueba. Si utiliza las direcciones de prueba RFC 1918, debe configurar otros sistemas, preferiblemente encaminadores, en el vnculo IP con direcciones en la subred RFC 1918 pertinente. De este modo, el daemon in.mpathd podr intercambiar correctamente los sondeos con los sistemas de destino. Los ejemplos IPMP utilizan direcciones RFC 1918 de la red 192.168.0/24 como direcciones de prueba IPv4. Para obtener ms informacin acerca de direcciones privadas de RFC 1918, consulte RFC 1918, Address Allocation for Private Internets. (http://www.ietf.org/rfc/ rfc1918.txt?number=1918) Para configurar direcciones de prueba IPv4, consulte la tarea Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801.
Direcciones de prueba IPv6

La nica direccin de prueba IPv6 vlida es la direccin local de vnculo de una interfaz fsica. No necesita una direccin IPv6 aparte para hacer la funcin de direccin de prueba IPMP. La direccin local de vnculo IPv6 se basa en la direccin de control de acceso de soportes (MAC) de la interfaz. Las direcciones locales de vnculo se configuran automticamente cuando la interfaz se activa para IPv6 durante el arranque o cuando se configura manualmente mediante ifconfig. Para identificar la direccin local de vnculo de una interfaz, ejecute el comando ifconfig interfaz de un nodo habilitado para IPv6. Compruebe el resultado de la direccin que comienza con el prefijo fe80, el prefijo local de vnculo. El indicador NOFAILOVER del siguiente resultado de ifconfig indica que la direccin local de vnculo fe80::a00:20ff:feb9:17fa/10 de la interfaz hme0 se utiliza como direccin de prueba.
hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:17fa/10
Para obtener ms informacin sobre las direcciones locales de vnculo, consulte Direccin unidifusin local de vnculo. Cuando un grupo IPMP tiene conectadas direcciones tanto IPv4 como IPv6 en todas las interfaces del grupo, no es necesario configurar direcciones de IPv4 aparte. El daemon in.mpathd puede utilizar las direcciones locales de vnculo IPv6 como direcciones de prueba. Para crear una direccin de prueba IPv6, consulte la tarea Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801.
Configuraciones de interfaces IPMP
Cmo evitar que las aplicaciones utilicen direcciones de prueba

Una vez configurada una direccin de prueba, debe asegurarse de que las aplicaciones no la utilicen. De lo contrario, si falla la interfaz, no se podr acceder a la aplicacin porque las direcciones de prueba no se conmutarn por error durante la operacin de conmutacin por error. Para asegurarse de que la IP no elija las direcciones de prueba para las aplicaciones normales, marque las direcciones de prueba como deprecated. IPv4 no utiliza una direccin descartada como direccin de origen para las comunicaciones, a menos que una aplicacin se vincule explcitamente con la direccin. El daemon in.mpathd se vincula explcitamente con dicha direccin para enviar y recibir trfico de sondeos. Dado que las direcciones locales de vnculo IPv6 normalmente no estn presentes en un servicio de nombres, las aplicaciones DNS y NIS no utilizan direcciones locales de vnculo para la comunicacin. Por tanto, no debe marcar las direcciones locales de vnculo IPv6 como deprecated. Las direcciones de prueba IPv4 no deben colocarse en las tablas de servicios de nombres DNS ni NIS. En IPv6, las direcciones locales de vnculo no se colocan normalmente en las tablas de servicios de nombres.

Una configuracin IPMP se compone normalmente de dos o ms interfaces fsicas en el mismo sistema que estn conectadas al mismo vnculo IP. Estas interfaces fsicas pueden estar en la misma NIC o no estarlo. Las interfaces se configuran como miembros del mismo grupo IPMP. Si el sistema cuenta con interfaces adicionales en un segundo vnculo IP, debe configurar dichas interfaces como otro grupo IPMP. Una nica interfaz se puede configurar en su propio grupo IPMP. El grupo IPMP de interfaz nica tiene el mismo comportamiento que un grupo IPMP con mltiples interfaces. No obstante, la recuperacin tras los errores y la conmutacin por error no pueden tener lugar para un grupo IPMP que slo tenga una interfaz. Asimismo, puede configurar redes VLAN en un grupo IPMP siguiendo los mismos pasos que se deben seguir para configurar un grupo a partir de interfaces IP. Para ver los procedimientos, consulte Configuracin de grupos IPMP en la pgina 801. Los mismos requisitos que se enumeran en Requisitos bsicos de IPMP en la pgina 783 se aplican para configurar redes VLAN en un grupo IPMP.
786
Precaucin La convencin que se utiliza para denominar redes VLAN puede conducir a errores
al configurar redes VLAN como grupo IPMP. Para obtener ms detalles acerca de nombres de VLAN, consulte Etiquetas VLAN y puntos de conexin fsicos en la pgina 165 de System Administration Guide: IP Services. Considere el ejemplo de cuatro redes VLAN bge1000, bge1001, bge2000 y bge2001. La implementacin de IPMP precisa que estas VLAN se agrupen del siguiente modo: bge1000 y bge1001 pertenecen a un grupo de la misma VLAN 1, mientras bge2000 y bge2001 pertenecen a otro grupo de la misma VLAN 2. Debido a los nombres de VLAN, pueden darse con frecuencia errores como mezclar VLAN que pertenecen a varios vnculos en un grupo IPMP, por ejemplo, bge1000 y bge2000.
Interfaces de reserva en un grupo IPMP

La interfaz de reserva de un grupo IPMP no se utiliza para el trfico de datos a menos que falle otra interfaz del grupo. Cuando se produce un fallo, las direcciones de datos de la interfaz fallida se migran a la interfaz de reserva. La interfaz de reserva recibe el mismo tratamiento que las dems interfaces activas hasta que se repara la interfaz fallida. Es posible que algunas conmutaciones por error no elijan una interfaz de reserva. En lugar de ello, estas conmutaciones por error podran elegir una interfaz activa con menos direcciones de datos configurados como UP que la interfaz de reserva. En una interfaz de reserva debe configurar nicamente las direcciones de prueba. IPMP no permite agregar una direccin de datos a una interfaz configurada con el comando ifconfig como standby. Cualquier intento de crear este tipo de configuracin ser fallido. De modo similar, si configura como standby una interfaz que ya cuenta con direcciones de datos, estas direcciones conmutarn por error automticamente a otra interfaz del grupo IPMP. Debido a estas restricciones, debe utilizar el comando ifconfig para marcar cualquier direccin de prueba como deprecated y - failover antes de configurar la interfaz como standby. Para configurar interfaces de reserva, consulte Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 807
Configuraciones comunes de interfaces IPMP

Como se menciona en Direcciones IPMP en la pgina 784, las interfaces de un grupo IPMP controlan el trfico de sondeos y de datos regulares, segn la configuracin de las interfaces. Las opciones IPMP del comando ifconfig se utilizan para establecer la configuracin. Una interfaz activa es una interfaz fsica que transmite tanto trfico de datos como trfico de sondeos. La interfaz se configura como "activa" llevando a cabo los procedimientos de Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801 o Cmo configurar un grupo IPMP de interfaz nica en la pgina 810. A continuacin se describen los dos tipos comunes de configuraciones IPMP:
Funciones de deteccin de fallos IPMP y recuperacin
Configuracin activa-activa
Un grupo IPMP de dos interfaces en el que ambas interfaces estn "activas", es decir, que pueden transmitir tanto trfico de datos como trfico de sondeos en cualquier momento Grupo IPMP de dos interfaces en el que una interfaz se configura como "reserva".
Configuracin activa-reserva
Comprobacin del estado de una interfaz

Puede comprobar el estado de una interfaz escribiendo el comando ifconfig interfaz. Para obtener informacin general sobre los informes de estado ifconfig, consulte Cmo obtener informacin sobre una interfaz especfica. Por ejemplo, puede utilizar el comando ifconfig para obtener el estado de una interfaz de reserva. Cuando la interfaz de reserva no aloja ninguna direccin de datos, tiene el indicador de estado INACTIVE. Este observador se encuentra en las lneas de estado de la interfaz en el resultado de ifconfig.

El daemon in.mpathd controla los siguientes tipos de deteccin de fallos:

Deteccin de fallos basada en vnculos, si la admite el controlador de la NIC Deteccin de fallos basada en sondeos, cuando se configuran las direcciones de prueba Deteccin de interfaces que no estaban presentes durante el arranque
La pgina del comando man in.mpathd(1M) describe detalladamente el modo en que el daemon in.mpathd controla la deteccin de fallos de la interfaz.
Deteccin de fallos basada en vnculos

La deteccin de fallos basada en vnculos siempre est activada, cuando la interfaz admite este tipo de deteccin de fallos. En la versin actual de Solaris OS se admiten los siguientes controladores de red de Sun:

hme eri ce ge bge qfe dmfe e1000g
788
ixgb nge nxge rge xge
Para determinar si la interfaz de otro proveedor admite la deteccin de fallos basada en vnculos, consulte la documentacin del fabricante. Estos controladores de interfaces de red supervisan el estado del vnculo de la interfaz y notifican al subsistema de red si dicho estado cambia. Cuando se notifica un cambio, el subsistema de red establece o borra el indicador RUNNING para dicha interfaz, segn sea preciso. Si el daemon detecta que el indicador RUNNING de la interfaz se ha borrado, el daemon rechaza inmediatamente la interfaz.
Deteccin de fallos basada en sondeos

El daemon in.mpathd lleva a cabo la deteccin de fallos basada en sondeos en cada interfaz del grupo IPMP que cuente con una direccin de prueba. La deteccin de fallos basada en sondeos implica enviar y recibir los mensajes de sondeo de ICMP que utilizan direcciones de prueba. Estos mensajes pasan por la interfaz y se dirigen a uno o ms sistemas de destino del mismo vnculo IP. Para ver una introduccin a las direcciones de prueba, consulte Direcciones de prueba en la pgina 784. Si desea informacin sobre cmo configurar las direcciones de prueba, consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801. El daemon in.mpathd determina qu sistemas de destino se sondean dinmicamente. Los encaminadores conectados al vnculo IP se seleccionan automticamente como destinos para el sondeo. Si no hay encaminadores en el vnculo, in.mpathd enva sondeos a los hosts vecinos del vnculo. Un paquete multidifusin que se enva a la direccin multidifusin de todos los hosts, 224.0.0.1 en IPv4 y ff02::1 en IPv6, determina qu hosts se utilizarn como sistemas de destino. Los primeros hosts que responden a los paquetes echo se eligen como destinos para los sondeos. Si in.mpathd no encuentra encaminadores ni hosts que respondan a los paquetes echo ICMP, in.mpathd no puede detectar los fallos basados en sondeos. Puede utilizar las rutas host para configurar explcitamente una lista de sistemas de destino para utilizar con el comando in.mpathd. Para obtener ms informacin, consulte Configuracin de sistemas de destino en la pgina 805. Para asegurarse de que cada interfaz del grupo IPMP funcione correctamente, in.mpathd sondea todos los destinos por separado mediante todas las interfaces del grupo IPMP. Si no hay ninguna respuesta a cinco sondeos consecutivos, in.mpathd considera que la interfaz ha fallado. La velocidad de sondeo depende del tiempo de deteccin de fallos (FDT). El valor predeterminado del tiempo de deteccin de fallos es de 10 segundos. Puede ajustar el tiempo de
789
deteccin de fallos en el archivo /etc/default/mpathd. Para obtener instrucciones, consulte Cmo configurar el archivo /etc/default/mpathd en la pgina 819. Para un tiempo de deteccin de reparaciones de 10 segundos, la velocidad de sondeo es de aproximadamente un sondeo cada dos segundos. El tiempo mnimo de deteccin de reparaciones predeterminado es el doble del tiempo de deteccin de fallos, es decir, 20 segundos, ya que debe recibirse la respuesta de 10 sondeos consecutivos. Los tiempos de deteccin de fallos y reparaciones slo se aplican a la deteccin de fallos basada en sondeos.
Nota En un grupo IPMP compuesto por redes VLAN, la deteccin de fallos basada en vnculos se implementa por vnculos fsicos y, por lo tanto, afecta a todas las redes VLAN del vnculo en cuestin. La deteccin de fallos basada en sondeos se realiza por vnculos VLAN. Por ejemplo, bge0/bge1 y bge1000/bge1001 se configuran en un mismo grupo. Si el cable para bge0 est desconectado, la deteccin de fallos basada en vnculos no indicar que bge0 y bge1000 hayan fallado de manera inmediata. Sin embargo, si no se puede alcanzar ningn destino de sondeo de bge0, slo se indicar que ha fallado bge0, porque bge1000 tiene sus propios destinos de sondeo en su red VLAN.
Fallos de grupo
Un fallo de grupo tiene lugar cuando todas las interfaces de un grupo IPMP fallan al mismo tiempo. El daemon in.mpathd no lleva a cabo conmutaciones por error para un fallo de grupo. Asimismo, no se puede realizar ninguna conmutacin por error si todos los sistemas de destino fallan de forma simultnea. En este caso, in.mpathd vaca todos los sistemas de destino actuales y descubre nuevos sistemas de destino.
Deteccin de reparaciones de interfaces fsicas

Para que el daemon in.mpathd considere que se ha reparado una interfaz, el indicador RUNNING debe estar configurado para la interfaz. Si se utiliza la deteccin de fallos basada en sondeos, el daemon in.mpathd debe recibir respuestas a 10 paquetes de sondeos consecutivos de la interfaz antes de que sta se considere como reparada. Cuando una interfaz se considera reparada, cualquier direccin que conmutaba por error a otra interfaz, se recuperar tras el error a la interfaz reparada. Si la interfaz estaba configurada como "activa" antes de que fallara, tras la reparacin podr seguir enviando y recibiendo trfico.
790
Qu ocurre durante la conmutacin por error de la interfaz

Los dos ejemplos siguientes muestran una configuracin tpica y cmo dicha configuracin cambia automticamente cuando falla una interfaz. Cuando falla la interfaz hme0, observe que todas las direcciones de datos pasan de hme0 a hme1.
EJEMPLO 301
Configuracin de la interfaz antes de un fallo
hme0: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.19 netmask ffffff00 broadcast 192.168.85.255 groupname test hme0:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 192.168.85.255 hme1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 8 inet 192.168.85.20 netmask ffffff00 broadcast 192.168.85.255 groupname test hme1:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.22 netmask ffffff00 broadcast 192.168.85.255 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname test hme1: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:1bfc/10 groupname test
EJEMPLO 302
Configuracin de la interfaz despus de un fallo
hme0: flags=19000842<BROADCAST,RUNNING,MULTICAST,IPv4, NOFAILOVER,FAILED> mtu 0 index 2 inet 0.0.0.0 netmask 0 groupname test hme0:1: flags=19040843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4, NOFAILOVER,FAILED> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 10.0.0.255 hme1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.20 netmask ffffff00 broadcast 192.168.85.255 groupname test hme1:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4, NOFAILOVER> mtu 1500 index 2 inet 192.168.85.22 netmask ffffff00 broadcast 10.0.0.255 hme1:2: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 6
791
IPMP y reconfiguracin dinmica
EJEMPLO 302
Configuracin de la interfaz despus de un fallo
(Continuacin)
inet 192.168.85.19 netmask ffffff00 broadcast 192.168.18.255 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER,FAILED> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname test hme1: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:1bfc/10 groupname test
Puede ver que el indicador FAILED aparece en hme0 para indicar que la interfaz ha fallado. Observe tambin que se ha creado hme1:2. hme1:2 era originalmente hme0. La direccin 192.168.85.19 se convierte en accesible mediante hme1. Los miembros multidifusin asociados con 192.168.85.19 pueden seguir recibiendo paquetes, pero ahora los reciben mediante hme1. Cuando se produce el fallo de la direccin 192.168.85.19 de hme0 a hme1, se crea la direccin ficticia 0.0.0.0 en hme0. La direccin ficticia se crea para que se pueda seguir accediendo a hme0. hme0:1 no puede existir sin hme0. La direccin de prueba se elimina cuando tiene lugar una recuperacin tras los errores. De modo similar, se produce la conmutacin por error de la direccin IPv6 de hme0 a hme1. En IPv6, los miembros de multidifusin se asocian con ndices de interfaz. Los miembros de multidifusin tambin se conmutan por error de hme0 a hme1. Tambin se mueven todas las direcciones configuradas por in.ndpd. Esta accin no se muestra en los ejemplos. El daemon in.mpathd sigue realizando el sondeo a travs de la interfaz fallida hme0. Cuando el daemon recibe 10 respuestas consecutivas para un tiempo de deteccin de reparaciones predeterminado de 20 segundos, determina que la interfaz se ha reparado. Dado que el indicador RUNNING tambin se establece en hme0, el daemon invoca la recuperacin tras los errores. Despus de la recuperacin tras los errores, se restablece la configuracin original. Para ver una descripcin de todos los mensajes de error registrados en la consola durante los fallos y las reparaciones, consulte la pgina del comando man in.mpathd(1M).

La funcin de reconfiguracin dinmica (DR) permite volver a configurar el hardware del sistema, como las interfaces, mientras el sistema est en ejecucin. En esta seccin se explica cmo DR interopera con IPMP. En un sistema que admite la DR de NIC, IPMP se puede utilizar para mantener la conectividad y evitar la interrupcin de las conexiones existentes. Puede conectar, desconectar o volver a conectar tarjetas NIC de forma segura en un sistema que admita DR y utilice IPMP. Esto es
792
posible porque IPMP se integra en la estructura del Gestor de coordinacin de reconfiguracin (RCM). RCM administra la reconfiguracin dinmica de los componentes del sistema. Normalmente se utiliza el comando cfgadm para llevar a cabo las operaciones de DR. Sin embargo, algunas plataformas proporcionan otros mtodos. Consulte la documentacin de su plataforma para obtener ms informacin. Encontrar informacin especfica sobre DR en los siguientes recursos.
TABLA 301 Descripcin
Recursos de documentacin para la reconfiguracin dinmica

Informacin detallada sobre el comando cfgadm Informacin especfica sobre DR en el entorno de Sun Cluster Informacin especfica sobre DR en el entorno de Sun Fire Informacin introductoria sobre DR y el comando cfgadm Tareas para administrar grupos IPMP en un sistema que admite DR
Pgina del comando man cfgadm(1M) Sun Cluster 3.1 System Administration Guide Sun Fire 880 Dynamic Reconfiguration Guide Captulo 6, Dynamically Configuring Devices (Tasks) de System Administration Guide: Devices and File Systems Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica en la pgina 814
Conexin de NIC
Puede agregar interfaces a un grupo IPMP en cualquier momento utilizando el comando ifconfig, tal como se describe en Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801. De este modo, cualquier interfaz de los componentes del sistema que conecte tras el arranque del sistema se podr sondear y agregar a un grupo IPMP existente. Si es preciso, puede configurar las interfaces que acaba de agregar en su propio grupo IPMP. Estas interfaces y las direcciones de datos que se configuran en ellas estn inmediatamente disponibles para el grupo IPMP. Sin embargo, para que el sistema configure y utilice las interfaces automticamente tras un rearranque, debe crear un archivo /etc/hostname.interfaz para cada interfaz nueva. Para obtener ms informacin, consulte Cmo configurar una interfaz fsica tras la instalacin del sistema. Si ya existe un archivo /etc/hostname.interfaz cuando se conecta la interfaz, RCM configura automticamente la interfaz de acuerdo con el contenido de este archivo. De este modo, la interfaz recibe la misma configuracin que habra recibido tras el arranque del sistema.
793
Desconexin de NIC
Todas las solicitudes para desconectar los componentes del sistema que contengan NIC se comprueban antes para garantizar el mantenimiento de la conectividad. Por ejemplo, de modo predeterminado no puede desconectar una NIC que no se encuentre en un grupo IPMP. Tampoco puede desconectar una NIC que contenga las nicas interfaces en funcionamiento de un grupo IPMP. Sin embargo, si debe eliminar el componente del sistema, puede modificar este comportamiento con la opcin -f de cfgadm, tal como se explica en la pgina del comando man cfgadm(1M). Si las comprobaciones son correctas, las direcciones de datos asociadas con la NIC desconectada conmutarn por error a una NIC en funcionamiento del mismo grupo, como si la NIC que se desconecta hubiera fallado. Cuando se desconecta la NIC, todas las direcciones de prueba de las interfaces NIC se desconfiguran. A continuacin, la NIC se desconecta del sistema. Si falla alguno de estos pasos, o falla la DR de otro hardware del mismo componente del sistema, se restablece el estado original de la configuracin anterior. Recibir un mensaje de estado sobre este evento. De lo contrario, la solicitud de desconexin se completar correctamente. Ya podr eliminar el componente del sistema. Las conexiones existentes no se interrumpen.
Reconexin de NIC
RCM registra la informacin de configuracin asociada con cualquier NIC que se desconecte de un sistema en ejecucin. Como consecuencia, RCM trata la reconexin de una NIC que se ha desconectado previamente del mismo modo que lo hara con la conexin de una nueva NIC. Por tanto, RCM slo realiza conexiones. Sin embargo, las NIC reconectadas cuentan con un archivo /etc/hostname. interfaz. En ese caso, RCM configura automticamente la interfaz de acuerdo con el contenido del archivo /etc/hostname. interfaz. Asimismo, RCM informa al daemon in.mpathd de cada direccin de datos que se aloj originalmente en la interfaz reconectada. Cuando la interfaz reconectada funciona correctamente, todas sus direcciones de datos se recuperan tras los errores en la interfaz reconectada como si se hubiera reparado. Si la NIC que se reconecta no tiene ningn archivo /etc/hostname. interfaz, no hay ninguna informacin de configuracin disponible. RCM no tiene informacin sobre cmo configurar la interfaz. Una consecuencia de esta situacin es que las direcciones que se haban conmutado por error a otra interfaz no se recuperarn tras los errores.
794
NIC que no estaban presentes durante el arranque del sistema

Las tarjetas NIC que no estn presentes durante el arranque del sistema representan un caso especial de deteccin de fallos. Durante el arranque, las secuencias de inicio supervisan las interfaces con archivos /etc/hostname.interfaz que no se pueden sondear. Todas las direcciones de datos que haya en dicho archivo /etc/hostname. interfaz se alojan de manera automtica en otra interfaz del grupo IPMP. En tal caso, recibir mensajes de error similares a los siguientes:
moving addresses from failed IPv4 interfaces: hme0 (moved to hme1) moving addresses from failed IPv6 interfaces: hme0 (moved to hme1)
Si no existe ninguna direccin alternativa, recibir mensajes de error similares a los siguientes:
moving addresses from failed IPv4 interfaces: hme0 (couldnt move; no alternative interface) moving addresses from failed IPv6 interfaces: hme0 (couldnt move; no alternative interface)
Nota En este caso de deteccin de fallos, slo se mueven a una interfaz alternativa las direcciones de datos que se especifican en el archivo /etc/hostname. interfaz de la interfaz que falta. Cualquier direccin que se obtenga por otros medios, como RARP o DHCP, no se obtendr ni se mover.
Si se reconecta con DR una interfaz con el mismo nombre que otra interfaz que no estaba presente durante el arranque del sistema, RCM sondea la interfaz automticamente. A continuacin, RCM configura la interfaz de acuerdo con el contenido del archivo /etc/hostname.interfaz de la interfaz. Finalmente, RCM recupera tras los errores las direcciones de datos, como si la interfaz se hubiera reparado. Por tanto, la configuracin de red final es idntica a la configuracin que se habra realizado si el sistema se hubiera arrancado con la interfaz presente.
795
796
C A P T U L O
Administracin de IPMP (tareas)
31
3 1
En este capitulo se describen las tareas para administrar grupos de interfaces con mltiples rutas de redes IP (IPMP). Se abordan los siguientes temas principales:

Configuracin de IPMP (mapas de tareas) en la pgina 797 Configuracin de grupos IPMP en la pgina 799 Mantenimiento de grupos IPMP en la pgina 811 Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica en la pgina 814 Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema en la pgina 816 Modificacin de configuraciones IPMP en la pgina 819
Para obtener una descripcin general de los conceptos de IPMP, consulte el Captulo 30, Introduccin a IPMP (descripcin general).
Configuracin de IPMP (mapas de tareas)

Esta seccin contiene los vnculos a las tareas que se describen en este captulo.
Configuracin y administracin de grupos IPMP (mapa de tareas)

Planificar un grupo IPMP.
Enumera toda la informacin auxiliar y las tareas necesarias para poder configurar un grupo IPMP.
Cmo planificar un grupo IPMP en la pgina 799
797
Configuracin de IPMP (mapas de tareas)
Tarea
Descripcin
Configurar un grupo de interfaces IPMP con mltiples interfaces. Configurar un grupo IPMP en el que una de las interfaces es una interfaz de reserva. Configurar un grupo IPMP compuesto por una nica interfaz. Mostrar el grupo IPMP al que pertenece una interfaz fsica.
Configura varias interfaces como miembros de un grupo IPMP.
Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801
Configura una de las interfaces de Cmo configurar una interfaz de un grupo de interfaces IPMP como reserva para un grupo IPMP interfaz de reserva. en la pgina 807 Crea un nico grupo de interfaces IPMP. Cmo configurar un grupo IPMP de interfaz nica en la pgina 810
Explica cmo obtener el nombre de Cmo mostrar la pertenencia de un grupo IPMP de la interfaz a una interfaz a un grupo IPMP partir del resultado del comando en la pgina 811 ifconfig. Configura una nueva interfaz como Cmo agregar una interfaz a un miembro de un grupo IPMP grupo IPMP en la pgina 812 existente. Explica cmo eliminar una interfaz Cmo eliminar una interfaz de un de un grupo IPMP. grupo IPMP en la pgina 813 Mueve las interfaces entre los grupos IPMP. Personaliza el tiempo de deteccin de fallos y otros parmetros del daemon in.mpathd. Cmo mover una interfaz de un grupo IPMP a otro grupo en la pgina 814 Cmo configurar el archivo /etc/default/mpathd en la pgina 819
Agregar una interfaz a un grupo IPMP. Eliminar una interfaz de un grupo IPMP. Mover una interfaz de un grupo IPMP existente a otro grupo distinto. Cambiar tres parmetros predeterminados para el daemon in.mpathd.
Administracin de IPMP en interfaces que admiten reconfiguracin dinmica (mapa de tareas)

Eliminar una interfaz que ha fallado. Reemplazar una interfaz que ha fallado.
Elimina una interfaz fallida de un sistema. Reemplaza una interfaz fallida.
Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR) en la pgina 815 Como sustituir una interfaz fsica que ha fallado (conexin en DR) en la pgina 816
798
Configuracin de grupos IPMP
Tarea
Descripcin
Recuperar una interfaz que no se ha configurado durante el arranque.
Recupera una interfaz fallida.
Cmo recuperar una interfaz fsica que no est presente al arrancar el sistema en la pgina 817

Esta seccin describe los procedimientos para configurar los grupos IPMP. Tambin explica cmo configurar una interfaz como interfaz de reserva.
Planificacin de un grupo IPMP

Antes de configurar las interfaces de un sistema como parte de un grupo IPMP, debe realizar una planificacin previa.
Cmo planificar un grupo IPMP

El procedimiento siguiente incluye las tareas de planificacin de la informacin que se debe obtener antes de configurar el grupo IPMP. No es necesario realizar las tareas por orden.
1
Decida qu interfaces del sistema formarn parte del grupo IPMP. Un grupo IPMP se compone normalmente de, como mnimo, dos interfaces fsicas conectadas al mismo vinculo IP. No obstante, si lo desea, puede configurar un grupo IPMP de interfaz nica. Para ver una introduccin a los grupos IPMP, consulte Configuraciones de interfaces IPMP en la pgina 786. Por ejemplo, puede configurar el mismo conmutador Ethernet o la misma subred IP en el mismo grupo IPMP. Puede configurar la cantidad de interfaces que desee en el mismo grupo IPMP. No puede utilizar el parmetro group del comando ifconfig con interfaces lgicas. Por ejemplo, puede utilizar el parmetro group con hme0, pero no con hme0:1 .
Compruebe que cada interfaz del grupo tenga una direccin MAC exclusiva. Para ver instrucciones, consulte SPARC: Cmo asegurarse de que la direccin MAC de una interfaz sea nica en la pgina 160.
Elija un nombre para el grupo IPMP. Cualquier nombre que no sea nulo ser vlido. Tambin puede utilizar un nombre que identifique el vnculo IP al que estn vinculadas las interfaces.
Captulo 31 Administracin de IPMP (tareas) 799
Asegrese de que se inserte y configure el mismo conjunto de mdulos STREAMS en todas las interfaces del grupo IPMP. Todas las interfaces del mismo grupo deben tener configurados los mismos mdulos STREAMS y en el mismo orden. a. Compruebe el orden de los mdulos STREAMS en todas las interfaces del grupo IPMP eventual. Puede imprimir una lista de los mdulos STREAMS utilizando el comando ifconfig interfaz modlist. Por ejemplo, ste es el resultado de ifconfig para una interfaz hme0:
# ifconfig hme0 modlist 0 arp 1 ip 2 hme
Las interfaces existen normalmente como controladores de red justo debajo del mdulo IP, tal como se muestra en el resultado de ifconfig hme0 modlist. No requieren ninguna configuracin adicional. Sin embargo, determinadas tecnologas, como NCA o el Filtro IP, se insertan como mdulos STREAMS entre el mdulo IP y el controlador de red. Es posible que se originen problemas en el comportamiento de las interfaces del mismo grupo IPMP. Si un mdulo STREAMS tiene estado, puede producirse un comportamiento inesperado en la conmutacin por error, aunque se inserte el mismo mdulo en todas las interfaces de un grupo. Sin embargo, puede utilizar mdulos STREAMS sin estado, siempre y cuando los inserte en el mismo orden en todas las interfaces del grupo IPMP. b. Inserte los mdulos de una interfaz en el orden estndar para el grupo IPMP.
ifconfig interface modinsert module-name ifconfig hme0 modinsert ip 5
Utilice el mismo formato de direcciones IP en todas las interfaces del grupo IPMP. Si una interfaz est configurada para IPv4, todas las interfaces del grupo deben estar configuradas para IPv4. Supongamos que tiene un grupo IPMP compuesto por interfaces de varias NIC. Si aade direcciones IPv6 a las interfaces de una tarjeta NIC, todas las interfaces del grupo IPMP se deben configurar para que admitan IPv6. Compruebe que todas las interfaces del grupo IPMP estn conectadas al mismo vnculo IP. Compruebe que el grupo IPMP no contenga interfaces con diferentes tipos de medios de red. Las interfaces que estn agrupadas deben tener el mismo tipo de interfaz, de acuerdo con lo que se define en /usr/include/net/if_types.h. Por ejemplo, no puede combinar interfaces Ethernet y Token Ring en un grupo IPMP. Tampoco puede combinar una interfaz de bus Token con las interfaces de modalidad de transferencia asncrona (ATM) del mismo grupo IPMP.
6 7
800
En el caso de IPMP con interfaces ATM, configure dichas interfaces en modo de emulacin de LAN. IPMP no se admite para las interfaces que utilicen IP clsica sobre ATM.

Esta seccin contiene las tareas de configuracin para un grupo IPMP tpico con un mnimo de dos interfaces fsicas.
Para ver una introduccin a los grupos IPMP de interfaces mltiples, consulte Grupo IPMP en la pgina 781. Para conocer las tareas de planificacin, consulte Planificacin de un grupo IPMP en la pgina 799. Para configurar un grupo IPMP con una sola interfaz fsica, consulte Configuracin de grupos IPMP con una nica interfaz fsica en la pgina 810.
Cmo configurar un grupo IPMP con mltiples interfaces

Antes de empezar
Es preciso que ya haya configurado las direcciones IPv4, y, si es necesario, las direcciones IPv6 de todas las interfaces del grupo IPMP eventual.
Nota Para configurar redes VLAN en un grupo IPMP, debe seguir el mismo procedimiento.
En el sistema cuyas interfaces se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Coloque cada interfaz fsica en un grupo IPMP.

# ifconfig interface group group-name
Por ejemplo, para colocar hme0 y hme1 en el grupo testgroup1, debe escribir los siguientes comandos:
# ifconfig hme0 group testgroup1 # ifconfig hme1 group testgroup1
Evite utilizar espacios en los nombres de grupo. La pantalla de estado de ifconfig no muestra espacios. Por tanto, no cree dos nombres de grupo similares que slo se diferencien en un espacio. Si uno de los nombres de grupo contiene un espacio, aparecern iguales en la pantalla de estado.
En un entorno de doble pila, si se coloca una instancia IPv4 de una interfaz en un grupo especfico, automticamente se coloca la instancia IPv6 en el mismo grupo.
3
(Opcional) Configure una direccin de prueba IPv4 en una o ms interfaces fsicas. Slo debe configurar una direccin de prueba si desea utilizar la deteccin de fallos basada en sondeos en una interfaz especfica. Las direcciones de prueba se configuran como interfaces lgicas de la interfaz fsica que especifica para el comando ifconfig. Si una interfaz del grupo va a convertirse en la interfaz de reserva, no configure ninguna direccin de prueba para la interfaz en este momento. Configure una direccin de prueba para la interfaz de reserva como parte de la tarea Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 807. Utilice la siguiente sintaxis del comando ifconfig para configurar una direccin de prueba:
# ifconfig interface addif ip-address parameters -failover deprecated up
Por ejemplo, para la interfaz de red principal hme0 debe crear la siguiente direccin de prueba:
# ifconfig hme0 addif 192.168.85.21 netmask + broadcast + -failover deprecated up
Este comando configura los siguientes parmetros para la interfaz de red principal hme0:

La direccin se establece en 192.168.85.21. La direccin de emisin y la mscara de red se configuran con el valor predeterminado. Se establecen las opciones -failover y deprecated.
Nota Debe marcar una direccin de prueba IPv4 como deprecated para evitar que las aplicaciones utilicen la direccin de prueba.
Compruebe la configuracin de IPv4 para una interfaz especfica. Puede ver el estado de una interfaz en cualquier momento escribiendo ifconfig interfaz. Para obtener mas informacin sobre cmo ver el estado de una interfaz, consulte Cmo obtener informacin sobre una interfaz especfica. Puede obtener informacin sobre la configuracin de la direccin de prueba para una interfaz fsica especificando la interfaz lgica que est asignada a la direccin de prueba.
# ifconfig hme0:1 hme0:1: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.21 netmask ffffff00 broadcast 192.168.85.255
(Opcional) Si procede, configure una direccin de prueba IPv6.

# ifconfig interface inet6 -failover
Las interfaces fsicas con direcciones IPv6 se colocan en el mismo grupo IPMP que las direcciones IPv4 de las interfaces. Esto sucede al configurar la interfaz fsica con direcciones
IPv4 en un grupo IPMP. Si coloca primero las interfaces fsicas con direcciones IPv6 en un grupo IPMP, las interfaces fsicas con direcciones IPv4 tambin se colocan implcitamente en el mismo grupo IPMP. Por ejemplo, para configurar hme0 con una direccin de prueba IPv6, debe escribir lo siguiente:
# ifconfig hme0 inet6 -failover
No es necesario marcar una direccin de prueba IPv6 como descartada para impedir que las aplicaciones utilicen la direccin de prueba.
6
Compruebe la configuracin de IPv6.

# ifconfig hme0 inet6 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6,NOFAILOVER> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:17fa/10 groupname test
La direccin de prueba IPv6 es la direccin local de vnculo de la interfaz.

7
(Opcional) Conserve la configuracin del grupo IPMP tras los rearranques.
Para IPv4, agregue la lnea siguiente al archivo /etc/hostname. interfaz:

interface-address <parameters> group group-name up \ addif logical-interface -failover deprecated <parameters> up
En esta instancia, la direccin IPv4 de prueba se configura slo despus de rearrancar. Si desea invocar la configuracin en la sesin actual, lleve a cabo los pasos 1, 2, y, opcionalmente, 3.
Para IPv6, agregue la lnea siguiente al archivo /etc/hostname6. interfaz:

-failover group group-name up
Esta direccin IPv6 de prueba se configura slo despus del rearranque. Si desea invocar la configuracin en la sesin actual, lleve a cabo los pasos 1, 2, y, opcionalmente, 5.
8
(Opcional) Agregue ms interfaces al grupo IPMP repitiendo los pasos del 1 al 6. Puede agregar nuevas interfaces a un grupo existente en un sistema en funcionamiento. No obstante, los cambios se perdern al rearrancar.
Ejemplo 311
Configuracin de un grupo IPMP con dos interfaces

Supongamos que desea hacer lo siguiente:

Configurar la direccin de emisin y la mascara de red con el valor predeterminado. Configurar la interfaz con una direccin de prueba 192.168.85.21.
Debe escribir el comando siguiente:

# ifconfig hme0 addif 192.168.85.21 netmask + broadcast + -failover deprecated up
Debe marcar una direccin de prueba IPv4 como deprecated para evitar que las aplicaciones utilicen la direccin de prueba. Consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801. Para activar el atributo de conmutacin por error de la direccin, debe utilizar la opcin failover sin el guin. Todas las direcciones IP de prueba de un grupo IPMP deben utilizar el mismo prefijo de red. Las direcciones IP de prueba deben pertenecer a una nica subred IP.
Ejemplo 312
Conservacin de la configuracin de un grupo IPMP IPv4 tras el rearranque

Supongamos que desea crear un grupo IPMP denominado testgroup1 con la siguiente configuracin:

La interfaz fsica hme0 con la direccin de datos 192.168.85.19. Una interfaz lgica con la direccin de prueba 192.168.85.21.
Nota En este ejemplo, la interfaz fsica y la direccin de datos estn emparejadas. La interfaz lgica y la direccin de prueba. No obstante, no existen relaciones inherentes entre un "tipo" de interfaz y el tipo de direccin.
Las opciones deprecated y -failover configuradas. La direccin de emisin y la mscara de red se configuran con el valor predeterminado.
Debe agregar la siguiente lnea al archivo /etc/hostname.hme0:

192.168.85.19 netmask + broadcast + group testgroup1 up \ addif 192.168.85.21 deprecated -failover netmask + broadcast + up
De modo similar, para colocar la segunda interfaz hme1 bajo el mismo grupo testgroup1 y configurar una direccin de prueba, debe agregar la lnea siguiente:
192.168.85.20 netmask + broadcast + group testgroup1 up \ addif 192.168.85.22 deprecated -failover netmask + broadcast + up
Ejemplo 313
Conservacin de la configuracin de un grupo IPMP IPv6 tras el rearranque

Para crear un grupo de prueba para la interfaz hme0 con una direccin IPv6, debe agregar la lnea siguiente al archivo /etc/hostname6.hme0:
-failover group testgroup1 up
804
De modo similar, para colocar la segunda interfaz hme1 en el grupo testgroup1 y configurar una direccin de prueba, debe agregar la lnea siguiente al archivo /etc/hostname6.hme1:
-failover group testgroup1 up
Errores ms frecuentes
Durante la configuracin del grupo IPMP, in.mpathd genera una serie de mensajes para la consola del sistema o el archivo syslog. Estos mensajes son informativos e indican que la configuracin de IPMP funciona correctamente.
Este mensaje indica que la interfaz hme0 se ha agregado al grupo IPMP testgroup1. Sin embargo, hme0 no tiene configurada una direccin de prueba. Para permitir la deteccin de fallos basada en sondeos, debe asignar una direccin de prueba a la interfaz.
May 24 14:09:57 host1 in.mpathd[101180]: No test address configured on interface hme0; disabling probe-based failure detection on it. testgroup1
Este mensaje aparece para todas las interfaces que slo tengan direcciones IPv4 agregadas a un grupo IPMP.
May 24 14:10:42 host4 in.mpathd[101180]: NIC qfe0 of group testgroup1 is not plumbed for IPv6 and may affect failover capability
Este mensaje aparece al configurar una direccin de prueba para una interfaz.
Created new logical interface hme0:1 May 24 14:16:53 host1 in.mpathd[101180]: Test address now configured on interface hme0; enabling probe-based failure detection on it
Vase tambin
Si desea que el grupo IPMP tenga una configuracin de reserva activa, vaya a Cmo configurar una interfaz de reserva para un grupo IPMP en la pgina 807.
Configuracin de sistemas de destino

La deteccin de fallos basada en sondeos implica el uso de sistemas de destino, tal como se explica en Deteccin de fallos basada en sondeos en la pgina 789. Para algunos grupos IPMP, los destinos predeterminados que utiliza in.mpathd son suficientes. Sin embargo, para algunos grupos IPMP, quiz desee configurar destinos especficos para la deteccin de fallos basada en sondeos. La deteccin de fallos basada en sondeos se lleva a cabo configurando las rutas host en la tabla de encaminamiento como destinos de sondeo. Cualquier ruta host configurada en la tabla de encaminamiento aparece enumerada antes del encaminador predeterminado. Por tanto, IPMP utiliza rutas host definidas explcitamente para la seleccin de destino. Puede
utilizar cualquiera de estos dos mtodos para especificar destinos directamente: configurar manualmente las rutas host o crear una secuencia shell que se pueda convertir en una secuencia de inicio. Considere los siguientes criterios cuando evale qu hosts de su red podran constituir destinos correctos.
Asegrese de que los posibles destinos estn disponibles y ejecutndose. Cree una lista de sus direcciones IP. Asegrese de que las interfaces de destino se encuentren en la misma red que el grupo IPMP que est configurando. La mscara de red y la direccin de emisin de los sistemas de destino deben ser las mismas que las direcciones del grupo IPMP. El host de destino debe poder responder a las solicitudes de ICMP desde la interfaz que utiliza la deteccin de fallos basada en sondeos.
Cmo especificar manualmente los sistemas de destino para la
deteccin de fallos basada en sondeos

1
Inicie sesin con su cuenta de usuario en el sistema en el que va a configurar la deteccin de fallos basada en sondeos. Agregue una ruta a un host particular para utilizar como destino en la deteccin de fallos basada en sondeos.
$ route add -host destination-IP gateway-IP -static
Sustituya los valores de IP_destino e IP_portal por la direccin IPv4 del host que se utilizar como destino. Por ejemplo, escriba lo siguiente para especificar el sistema de destino 192.168.85.137, que se encuentra en la misma subred que las interfaces del grupo IPMP testgroup1.
$ route add -host 192.168.85.137 192.168.85.137 -static 3
Agregue rutas a los host adicionales de la red para utilizar como sistemas de destino.
Cmo especificar sistemas de destino en una secuencia de shell

1
En el sistema en el que ha configurado un grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
806
Cree una secuencia de shell que configure rutas estticas para los destinos propuestos. Por ejemplo, puede crear una secuencia de shell denominada ipmp.targets con el siguiente contenido:
TARGETS="192.168.85.117 192.168.85.127 192.168.85.137" case "$1" in start) /usr/bin/echo "Adding static routes for use as IPMP targets" for target in $TARGETS; do /usr/sbin/route add -host $target $target done ;; stop) /usr/bin/echo "Removing static routes for use as IPMP targets" for target in $TARGETS; do /usr/sbin/route delete -host $target $target done ;; esac
Copie la secuencia de shell en el directorio de la secuencia de inicio.

# cp ipmp.targets /etc/init.d
Cambie los permisos de la nueva secuencia de inicio.

# chmod 744 /etc/init.d/ipmp.targets
Cambie la propiedad de la nueva secuencia de inicio.

# chown root:sys /etc/init.d/ipmp.targets
Cree un vnculo para la secuencia de inicio en el directorio /etc/init.d.

# ln /etc/init.d/ipmp.targets /etc/rc2.d/S70ipmp.targets
El prefijo S70 del nombre de archivo S70ipmp.targets ordena la nueva secuencia correctamente con respecto a las dems secuencias de inicio.
Configuracin de interfaces de reserva

Siga este procedimiento para que el grupo IPMP tenga una configuracin de reserva activa. Para obtener ms informacin sobre este tipo de configuracin, consulte Configuraciones de interfaces IPMP en la pgina 786.
Cmo configurar una interfaz de reserva para un grupo IPMP

Antes de empezar
Debe tener todas las interfaces configuradas como miembros del grupo IPMP.
807
Captulo 31 Administracin de IPMP (tareas)
No debe configurar ninguna direccin de prueba en la interfaz que se convertir en la interfaz de reserva.
Para obtener informacin sobre cmo configurar un grupo IPMP y asignar direcciones de prueba, consulte Cmo configurar un grupo IPMP con mltiples interfaces en la pgina 801.
1
En el sistema cuyas interfaces de reserva se deben configurar, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Configure una interfaz como reserva y asigne la direccin de prueba.

# ifconfig interface plumb \ ip-address other-parameters deprecated -failover standby up
Una interfaz de reserva slo puede tener una direccin IP (la direccin de prueba). Debe configurar la opcin -failover antes de configurar la opcin standby up. Para <other-parameters>, utilice los parmetros que requiera su configuracin, segn lo descrito en la pgina del comando man ifconfig(1M).
Por ejemplo, para crear una direccin de prueba IPv4, debe escribir el siguiente comando:
# ifconfig hme1 plumb 192.168.85.22 netmask + broadcast + deprecated -failover standby up
hme1 192.168.85.22 deprecated -failover standby
Define hme1 como interfaz tpica para configurar como interfaz de reserva. Asigna esta direccin de prueba a la interfaz de reserva. Indica que la direccin de prueba no se utiliza para los paquetes salientes. Indica que la direccin de prueba no conmuta por error si falla la interfaz. Marca la interfaz como interfaz de reserva.
Por ejemplo, para crear una direccin de prueba IPv6, debe escribir el siguiente comando:
# ifconfig hme1 plumb -failover standby up
Compruebe los resultados de la configuracin de la interfaz de reserva.

# ifconfig hme1 hme1: flags=69040843<UP,BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER, STANDBY,INACTIVE mtu 1500 index 4 inet 192.168.85.22 netmask ffffff00 broadcast 19.16.85.255 groupname test
808
El indicador INACTIVE significa que esta interfaz no se utiliza para ningn paquete saliente. Cuando se produce una conmutacin por error en esta interfaz de reserva, se borra el indicador INACTIVE.
Nota Puede ver el estado de una interfaz en cualquier momento escribiendo el comando ifconfig interfaz. Para ms informacin sobre cmo ver el estado de la interfaz, consulte Cmo obtener informacin sobre una interfaz especfica en la pgina 217 . 4
(Opcional) Mantenga la interfaz de reserva IPv4 despus de rearrancar. Asigne la interfaz de reserva al mismo grupo IPMP, y configure una direccin de prueba para la interfaz de reserva. Por ejemplo, para configurar hme1 como interfaz de reserva, debe agregar la siguiente lnea al archivo /etc/hostname.hme1:
192.168.85.22 netmask + broadcast + deprecated group test -failover standby up
(Opcional) Conserve la interfaz de reserva IPv6 tras los rearranques. Asigne la interfaz de reserva al mismo grupo IPMP, y configure una direccin de prueba para la interfaz de reserva. Por ejemplo, para configurar hme1 como interfaz de reserva, agregue la lnea siguiente al archivo /etc/hostname6.hme1:
-failover group test standby up
Ejemplo 314
Configuracin de una interfaz de reserva para un grupo IPMP

Supongamos que desea crear una direccin de prueba con la siguiente configuracin:

La interfaz fsica hme2 como interfaz de reserva. La direccin de prueba 192.168.85.22. Las opciones deprecated y -failover configuradas. La direccin de emisin y la mscara de red se configuran con el valor predeterminado.
Debe escribir lo siguiente:

# ifconfig hme2 plumb 192.168.85.22 netmask + broadcast + \ deprecated -failover standby up
La interfaz se marca como interfaz de reserva slo despus de que la direccin se marque como direccin NOFAILOVER. Debe eliminar el estado de reserva de una interfaz escribiendo lo siguiente:
809
# ifconfig interface -standby
Configuracin de grupos IPMP con una nica interfaz fsica

Cuando slo tiene una interfaz en un grupo IPMP, no es posible conmutar tras un fallo. Sin embargo, puede activar la funcin de deteccin de fallos en dicha interfaz asignndola a un grupo IPMP. No es necesario que configure una direccin IP de prueba dedicada para establecer la deteccin de fallos para un grupo IPMP de interfaz nica. Puede utilizar una sola direccin IP para enviar datos y detectar los fallos.
Cmo configurar un grupo IPMP de interfaz nica

1
En el sistema con el eventual grupo IPMP de interfaz nica, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Para IPv4, cree el grupo IPMP de interfaz nica. Utilice la siguiente sintaxis para asignar la interfaz nica a un grupo IPMP.
El ejemplo siguiente asigna la interfaz hme0 al grupo IPMP v4test:

# ifconfig hme0 group v4test
Tras realizar este paso, IPMP permite la deteccin de fallos basada en vnculos en la interfaz. Adems, puede utilizar el subcomando -failover del comando ifconfig para habilitar la deteccin de fallos basada en sonda. En el ejemplo siguiente se muestra la deteccin de fallos basada en sonda de hme0 mediante la direccin IP asignada actualmente a hme0:
# ifconfig hme0 -failover
A diferencia de los grupos de interfaz mltiple, la misma direccin IP puede ser de datos y de prueba. Para que las aplicaciones puedan utilizar la direccin de prueba como direccin de datos, las direcciones de prueba nunca se deben marcar como deprecated en los grupos IPMP de interfaz nica.
810
Mantenimiento de grupos IPMP
Para IPv6, cree el grupo IPMP de interfaz nica. Utilice la siguiente sintaxis para asignar la interfaz nica a un grupo IPMP:
# ifconfig interface inet6 group group-name
Por ejemplo, para agregar la interfaz nica hme0 en el grupo IPMP v6test, escriba lo siguiente:
# ifconfig hme0 inet6 group v6test
Tras realizar este paso, IPMP permite la deteccin de fallos basada en vnculos en la interfaz. Adems, puede utilizar el subcomando -failover del comando ifconfig para habilitar la deteccin de fallos basada en sonda. En el ejemplo siguiente se muestra la deteccin de fallos basada en sonda de hme0 mediante la direccin IP asignada actualmente a hme0:
# ifconfig hme0 inet6 -failover
A diferencia de los grupos de interfaz mltiple, la misma direccin IP puede ser de datos y de prueba. Para que las aplicaciones puedan utilizar la direccin de prueba como direccin de datos, las direcciones de prueba nunca se deben marcar como deprecated en los grupos IPMP de interfaz nica. En una configuracin de interfaz fsica nica, no puede comprobar si ha fallado el sistema de destino que se est sondeando o la interfaz. El sistema de destino se puede sondear mediante una nica interfaz fsica. Si slo hay un encaminador predeterminado en la subred, desactive IPMP si hay una nica interfaz fsica en el grupo. Si existe un encaminador distinto para IPv4 e IPv6, o hay varios encaminadores predeterminados, debe sondearse ms de un sistema de destino. De este modo, podr activar IPMP de un modo seguro.

Esta seccin contiene las tareas para mantener los grupos IPMP existentes y las interfaces que los componen. Las tareas presuponen que ya se ha configurado un grupo IPMP, tal como se explica en Configuracin de grupos IPMP en la pgina 799.
Cmo mostrar la pertenencia de una interfaz a un grupo IPMP

En el sistema con la configuracin de grupo IPMP, convirtase en superusuario o asuma un rol equivalente. Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener ms informacin sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
811
Visualice la informacin sobre la interfaz, incluido el grupo al que pertenece la interfaz.

# ifconfig interface
Si es preciso, visualice la informacin de IPv6 para la interfaz.

# ifconfig interface inet6
Ejemplo 315
Visualizacin de grupos de interfaces fsicas

Para mostrar el nombre de grupo para hme0, debe escribir lo siguiente:
# ifconfig hme0 hme0: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.19 netmask ffffff00 broadcast 192.168.85.255 groupname testgroup1
Para mostrar el nombre de grupo slo para la informacin de IPv6, debe escribir:
# ifconfig hme0 inet6 hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10 groupname testgroup1
Cmo agregar una interfaz a un grupo IPMP

En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Agregue la interfaz al grupo IPMP.

La interfaz especificada en interfaz se convierte en miembro del grupo IPMP nombre_grupo.

Ejemplo 316
Adicin de una interfaz a un grupo IPMP

Para agregar hme0 al grupo IPMP testgroup2, escriba el comando siguiente:
# ifconfig hme0 group testgroup2 hme0: flags=9000843<UP ,BROADCAST,RUNNING,MULTICAST,IPv4,NOFAILOVER> mtu 1500 index 2 inet 192.168.85.19 netmask ff000000 broadcast 10.255.255.255
812
groupname testgroup2 ether 8:0:20:c1:8b:c3
Cmo eliminar una interfaz de un grupo IPMP

Al ejecutar el parmetro group del comando ifconfig con una cadena nula, la interfaz se elimina de su grupo IPMP actual. Tenga cuidado al eliminar interfaces de un grupo. Si ha fallado otra interfaz del grupo IPMP, es posible que se haya producido una conmutacin por error anteriormente. Por ejemplo, si hme0 ha fallado previamente, todas las direcciones sern fallidas para hme1, si hme1 forma parte del mismo grupo. La eliminacin de hme1 del grupo hace que el daemon in.mpathd devuelva todas las direcciones de conmutacin por error a otra interfaz del grupo. Si no hay otras interfaces en funcionamiento en el grupo, es posible que la conmutacin por error no restaure todos los accesos de la red. De un modo similar, cuando se debe desconectar una interfaz de un grupo, primero es preciso eliminar la interfaz del grupo. A continuacin, asegrese de que la interfaz tiene configuradas todas las direcciones IP originales. El daemon in.mpathd trata de restaurar la configuracin original de una interfaz que se elimina del grupo. Debe asegurarse de que se restaure la configuracin antes de desconectar la interfaz. Consulte Qu ocurre durante la conmutacin por error de la interfaz en la pgina 791 para ver el aspecto de las interfaces antes y despus de una conmutacin por error.
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Elimine la interfaz del grupo IPMP.
# ifconfig interface group ""
Las comillas indican una cadena nula.

Ejemplo 317
Eliminacin de una interfaz de un grupo

Para eliminar hme0 del grupo IPMP test, escriba el comando siguiente:
# ifconfig hme0 group "" # ifconfig hme0 hme0: flags=9000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.85.19 netmask ffffff00 broadcast 192.168.85.255 # ifconfig hme0 inet6
813
Sustitucin de una interfaz fsica fallida en sistemas que admiten reconfiguracin dinmica
hme0: flags=a000841<UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 2 inet6 fe80::a00:20ff:feb9:19fa/10
Cmo mover una interfaz de un grupo IPMP a otro grupo

Puede colocar una interfaz en un nuevo grupo IPMP cuando la interfaz pertenece a un grupo IPMP existente. No es necesario eliminar la interfaz del grupo IPMP actual. Cuando coloca la interfaz en un nuevo grupo, se elimina automticamente de cualquier grupo IPMP existente.
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Mueva la interfaz a un nuevo grupo IPMP.
Al colocar la interfaz en un nuevo grupo se elimina automticamente la interfaz de cualquier grupo existente.
Ejemplo 318
Cmo mover una interfaz a otro grupo IPMP

Para cambiar el grupo IPMP de la interfaz hme0, escriba:
# ifconfig hme0 group cs-link
Con este comando se elimina la interfaz hme0 del grupo IPMP test y se coloca en el grupo cs-link.
Esta seccin contiene los procedimientos relativos a la administracin de sistemas que admiten reconfiguracin dinmica (DR).
814
Nota Las tareas slo se aplican a las capas IP configuradas con el comando ifconfig. Las capas que hay delante o detrs de la capa IP, como ATM u otros servicios, requieren pasos manuales especficos si las capas no estn automatizadas. Los pasos de los procedimientos siguientes permiten desconfigurar interfaces durante la desconexin previa y configurarlas tras la conexin posterior.
Cmo eliminar una interfaz fsica que ha fallado (desconexin en DR)

Este procedimiento muestra cmo eliminar una interfaz fsica de un sistema que admite DR. El procedimiento presupone la existencia de las siguientes condiciones:

Las interfaces fsicas hme0 y hme1 son las interfaces de ejemplo. Ambas interfaces se encuentran en el mismo grupo IPMP. hme0 ha fallado. La interfaz lgica hme0:1 tiene la direccin de prueba. Se est sustituyendo la interfaz fallida por el mismo nombre de interfaz fsica, por ejemplo hme0 por hme0.
Nota Puede omitir el paso 2 si la direccin de prueba se conecta utilizando el archivo /etc/hostname.hme0. 1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Visualice la configuracin de la direccin de prueba.
# ifconfig hme0:1 hme0:1: flags=9040842<BROADCAST,RUNNING,MULTICAST,DEPRECATED,IPv4,NOFAILOVER> mtu 1500 index 3 inet 192.168.233.250 netmask ffffff00 broadcast 192.168.233.255
Esta informacin es necesaria para volver a sondear la direccin de prueba cuando se reemplaza la interfaz fsica.
815
Recuperacin de una interfaz fsica que no estaba presente durante el arranque del sistema
Elimine la interfaz fsica. Consulte las siguientes fuentes para obtener una descripcin completa sobre cmo eliminar la interfaz fsica:

Pgina del comando man cfgadm(1M) Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide Sun Enterprise 10000 DR Configuration Guide
Como sustituir una interfaz fsica que ha fallado (conexin en DR)

Este procedimiento muestra cmo reemplazar una interfaz fsica en un sistema que admite DR. En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Reemplace la interfaz fsica. Consulte las instrucciones que se incluyen en las siguientes fuentes:

Pgina del comando man cfgadm(1M) Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide Sun Enterprise 10000 DR Configuration Guide o Sun Fire 880 Dynamic Reconfiguration User's Guide
Nota El siguiente procedimiento slo se aplica a las capas IP configuradas con el comando
ifconfig. Las capas que hay delante o detrs de la capa IP, como ATM u otros servicios, requieren pasos manuales especficos si las capas no estn automatizadas. Los pasos especficos del siguiente procedimiento permiten desconfigurar interfaces durante la desconexin previa y configurarlas tras la conexin posterior.
816
La recuperacin tras la reconfiguracin dinmica es automtica para una interfaz que forma parte de la placa de E/S de una plataforma Sun FireTM. Si la tarjeta NIC es una Sun Crypto Accelerator I - cPCI, la recuperacin tambin es automtica. Como resultado, no es necesario realizar los pasos siguientes para una interfaz que se recupera como parte de una operacin de DR. Para obtener ms informacin sobre los sistemas Sun Fire x800 y Sun Fire 15000, consulte la pgina del comando man cfgadm_sbd(1M) La interfaz fsica vuelve a la configuracin especificada en el archivo /etc/hostname. interfaz. Consulte Configuracin de grupos IPMP en la pgina 799 para obtener ms detalles sobre cmo configurar las interfaces para que conserven la configuracin tras un rearranque.
Nota En los sistemas Sun Fire (Exx00) antiguos, la desconexin DR sigue estando sujeta a los procedimientos manuales. Sin embargo, las conexiones en DR estn automatizadas.
Cmo recuperar una interfaz fsica que no est presente al arrancar el sistema
Debe completar el procedimiento siguiente para recuperar una interfaz fsica que no estaba presente al arrancar el sistema. El ejemplo de este procedimiento est configurado del modo siguiente:

Las interfaces fsicas son hme0 y hme1. Ambas interfaces se encuentran en el mismo grupo IPMP. hme0 no estaba instalada durante el arranque del sistema.
Nota La recuperacin tras error de direcciones IP durante la recuperacin de una interfaz fsica
fallida puede tardar hasta tres minutos. Este tiempo puede variar en funcin del trfico de la red. El tiempo tambin depende de la estabilidad de la interfaz entrante para recuperar las interfaces fallidas mediante el daemon in.mpathd.
1
En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Recupere la informacin de red fallida del mensaje de error del registro de la consola. Consulte la pgina del comando man syslog(3C) El mensaje de error podra ser similar al siguiente:
moving addresses from failed IPv4 interfaces: hme1 (moved to hme0)
817
Este mensaje indica que las direcciones IPv4 de la interfaz fallida hme1 han fallado para la interfaz hme0. Tambin podra recibir un mensaje como el siguiente:
moving addresses from failed IPv4 interfaces: hme1 (couldnt move, no alternative interface)
Este mensaje indica que no se ha podido encontrar ninguna interfaz activa en el mismo grupo que la interfaz fallida hme1. Por tanto, las direcciones IPv4 de hme1 no se han podido conmutar por error.
3
Conecte la interfaz fsica al sistema. Consulte las siguientes instrucciones para reemplazar la interfaz fsica:

Pgina del comando man cfgadm(1M) Sun Enterprise 10000 DR Configuration Guide Sun Enterprise 6x00, 5x00, 4x00, and 3x00 Systems Dynamic Reconfiguration User's Guide
Consulte el contenido del paso 2. Si no se pueden mover las direcciones, vaya al paso 6. Si se han podido mover las direcciones, contine con el paso 5. Desconecte las interfaces lgicas que se configuraron como parte del proceso de conmutacin por error. a. Revise el contenido del archivo /etc/hostname. movido_de_interfaz para determinar qu interfaces lgicas se han configurado como parte del proceso de conmutacin por error. b. Desconecte cada direccin IP de conmutacin por error.
# ifconfig moved-to-interface removeif moved-ip-address
Nota Las direcciones de conmutacin por error se marcan con el parmetro failover, o no
se marcan con el parmetro -failover. No es necesario desconectar las direcciones IP marcadas con -failover. Por ejemplo, supongamos que el contenido del archivo /etc/hostname.hme0 contiene las lneas siguientes:
inet 10.0.0.4 -failover up group one addif 10.0.0.5 failover up addif 10.0.0.6 failover up
818
Modificacin de configuraciones IPMP
Para desconectar cada direccin IP de conmutacin tras error, escriba los comandos siguientes:
# ifconfig hme0 removeif 10.0.0.5 # ifconfig hme0 removeif 10.0.0.6 6
Reconfigure la informacin de IPv4 para la interfaz fsica reemplazada escribiendo el comando siguiente para cada interfaz eliminada:
# ifconfig removed-from-NIC <parameters>
Por ejemplo, escriba:

# # # # ifconfig ifconfig ifconfig ifconfig hme1 hme1 hme1 hme1 inet plumb inet 10.0.0.4 -failover up group one addif 10.0.0.5 failover up addif 10.0.0.6 failover up

Utilice el archivo de configuracin IPMP /etc/default/mpathd para configurar los siguientes parmetros del sistema para los grupos IPMP.

FAILURE_DETECTION_TIME TRACK_INTERFACES_ONLY_WITH_GROUPS FAILBACK
Cmo configurar el archivo /etc/default/mpathd

En el sistema con la configuracin de grupo IPMP, asuma el rol de administrador principal o convirtase en superusuario. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Edite el archivo /etc/default/mpathd. Cambie el valor predeterminado de uno o ms de los tres parmetros. a. Escriba el nuevo valor para el parmetro FAILURE_DETECTION_TIME.
FAILURE_DETECTION_TIME=n
donde n es el tiempo en segundos para que los sondeos ICMP detecten si se ha producido un fallo de la interfaz. El valor predeterminado es de 10 segundos.
b. Escriba el nuevo valor para el parmetro FAILBACK.

FAILBACK=[yes | no]
yes: El valor yes es el comportamiento de recuperacin tras fallo predeterminado de IPMP. Cuando se detecta la reparacin de una interfaz fallida, el acceso de red recupera la interfaz reparada, tal como se describe en Funciones de deteccin de fallos IPMP y recuperacin en la pgina 788. no: El valor no indica que el trfico de datos no se devuelve a una interfaz reparada. Cuando se detecta la reparacin de una interfaz fallida, se configura el indicador INACTIVE para dicha interfaz. Este indicador significa que la interfaz no se va a utilizar para el trfico de datos. La interfaz se puede seguir utilizando para el trfico de sondeos. Por ejemplo, supongamos que un grupo IPMP se compone de dos interfaces, ce0 y ce1. A continuacin, supongamos que se configura el valor FAILBACK=no en /etc/default/mpathd. Si falla ce0, su trfico fallar para ce1, de acuerdo con el comportamiento de IPMP. No obstante, cuando IPMP detecta que se ha reparado ce0 , el trfico no se recupera de ce1, debido al parmetro FAILBACK=no de /etc/default/mpathd. La interfaz ce0 conserva su estado INACTIVE y no se utiliza para trfico a menos que falle la interfaz ce1. Si falla la interfaz ce1, las direcciones de ce1 se migran de nuevo a ce0, cuyo indicador INACTIVE se borra. Esta migracin tiene lugar siempre y cuando ce0 sea la nica interfaz INACTIVE del grupo. Si hay otras interfaces INACTIVE en el grupo, las direcciones podran migrarse a una interfaz INACTIVE que no sea ce0.
c. Escriba el nuevo valor para el parmetro TRACK_INTERFACES_ONLY_WITH_GROUPS .

TRACK_INTERFACES_ONLY_WITH_GROUPS=[yes | no]
yes: El valor yes es el comportamiento predeterminado de IPMP. Este parmetro hace que IPMP omita las interfaces de red que no estn configuradas en un grupo IPMP. no: El valor no define la deteccin de fallos y la reparacin para todas las interfaces de red, independientemente de si estn configuradas en un grupo IPMP. Sin embargo, cuando se detecta un fallo o reparacin en una interfaz que no est configurada en un grupo IPMP, no tiene lugar ninguna recuperacin tras error o conmutacin por error. Por tanto, el valor no slo resulta til para comunicar errores y no mejora directamente la disponibilidad de la red.
Reinicie el daemon in.mpathd.

# pkill -HUP in.mpathd
820
P A R T E
V I I
Calidad de servicio IP (IPQoS)

Esta seccin contiene tareas e informacin sobre Calidad de servicio IP (IPQoS), la implementacin de servicios diferenciados del sistema operativo Solaris.
821
822
C A P T U L O
Introduccin a IPQoS (Descripcin general)
32
3 2
IP Quality of Service (IPQoS) permite priorizar, controlar y realizar un seguimiento de las estadsticas de control. Utilizando IPQoS, puede ofrece un nivel de servicio estable a los usuarios de la red. Tambin puede administrar el trfico para evitar que se congestione la red. A continuacin puede ve runa lista de temas de este captulo:

Conceptos bsicos de IPQoS en la pgina 823 Proporcionar calidad de servicio con IPQoS en la pgina 826 Mejorar la eficacia de la red con IPQoS en la pgina 827 Modelo de servicios diferenciados en la pgina 829 Reenvo del trfico en una red con IPQoS en la pgina 834
Conceptos bsicos de IPQoS

IPQoS posibilita la arquitectura de servicios diferenciados (Diffserv) definida por el grupo de trabajo de servicios diferenciados de IETF (Internet Engineering Task Force). En el sistema operativo Solaris, IPQoS se implementa en el nivel de IP de la pila de protocolo TCP/IP.
Qu son los servicios diferenciados?

Utilizando IPQoS, puede proporcionar diferentes niveles de servicio de red para clientes seleccionados y aplicaciones especficas. Los diferentes niveles de servicios se denominan servicios diferenciados. Los servicios diferenciados que se proporcionan a los clientes pueden estar basados en una estrucutra de niveles de servicio que su compaa ofrezca a los clientes. Tambin puede ofrecer servicios diferenciados segn las prioridades definidas para aplicaciones o usuarios de la red. Para proporicionar calidad de servicio se deben llevar a cabo las siguientes actividades:
Delegar los niveles de servicio a diferentes gurpos, como clientes o departamentos de una empresa
823
Priorizar los servicios de red que se ofrecen a grupos o aplicaciones especficos Descubrir y eliminar reas de cuello de botella de la red y otros tipos de congestin Supervisar el rendimiento de la red y proporcionar estadsticas de rendimiento Regular el ancho de banda hasta y desde recursos de red
Funciones de IPQoS
IPQoS proporciona las siguientes funciones:

ipqosconf Herramienta de lnea de comandos para configurar la directiva QoS Clasificador que selecciona acciones basadas en filtros que configuran la directiva QoS de la organizacin Mdulo de medicin para medir el trfico de red que cumple el modelo Diffserv Diferenciacin del servicio basada en la posibilidad de marcar el encabezado IP de un paquete con informacin de redireccin Mdulo de control de flujo que realiza un seguimiento de las estadsticas de flujo de trfico Seguimiento de las estadsticas de clases de trfico mediante el uso del comando UNIX kstat Compatibilidad con la arquitectura SPARC y x86 Compatibilidad con direcciones IPv4 e IPv6 Interoperatividad con la arquitectura de seguridad IPsec Compatibilidad con marcados de prioridad de usuario 802.1D para redes de rea local virtuales (VLAN)
Dnde obtener ms informacin sobre la teora y prctica de la calidad del serivicio

Puede obtener informacin sobre servicios diferenciados y calidad del servicio de diferentes fuentes impresas y en lnea.
Libros sobre la calidad del servicio

Si necesita ms informacin sobre la teora y la prctica de la calidad del servicio, consulte los siguientes libros:

Ferguson, Paul y Geoff Huston. Quality of Service. John Wiley & Sons, Inc., 1998. Kilkki, Kalevi. Differentiated Services for the Internet. Macmillan Technical Publishing, 1999.
824
Peticin de comentarios (RFC) sobre la calidad de servivio

IPQoS cumple las especificaciones descritas en las siguientes RFC y borradores de Internet:
RFC 2474, Definicin del campo de servicios diferenciados (DS) en los encabezados IPv4 e IPv6 (http://www.ietf.org/rfc/rfc2474.txt?number=2474): describe una mejora del campo de tipo de servicio (ToS) o campos DS de los encabezados de paquetes IPv4 e IPv6 para admitir servicios diferenciados. RFC 2475, An Architecture for Differentiated Services (http://www.ietf.org/rfc/ rfc2475.txt?number=2475): proporciona una descripcin detallada de la organizacin y de los mdulos de la arquitectura Diffserv. RFC 2597, Assured Forwarding PHB Group (http://www.ietf.org/rfc/ rfc2597.txt?number=2597): describe cmo funciona el comportamiento por salto del reenvo asegurado (AF). RFC 2598, An Expedited Forwarding PHB (http://www.ietf.org/rfc/ rfc2598.txt?number=2598): describe cmo funciona el comportamiento por salto de reenvo acelerado (EF). Borrador de Internet, Un modelo de administracin informal para encaminadores Diffserv Presenta un modelo para implementar la arquitectura Diffserv en encaminadores.
Sitios web con informacin sobre calidad del servicio

El grupo de trabajo sobre servicios diferenciados del IETF mantiene un sitio web con enlaces a borradores de Internet sobre Diffserv: http://www.ietf.org/html.charters/diffserv-charter.html. Los fabricantes de encaminadores, como Cisco Systems y Juniper Networks, proporcionan informacin en sus sitios web corporativos sobre cmo implementar servicios diferenciados en sus productos.
Pginas de comando man de IPQoS

La documentacin de IPQoS incluye las siguientes pginas man:

ipqosconf(1M) - Describe el comando para definir el archivo de configuracin IPQoS ipqos(7ipp) Describe la implementacin IPQoS del modelo de arquitectura Diffserv ipgpc(7ipp) Describe la implementacin IPQoS de un clasificador Diffserv tokenmt(7ipp) Describe el medidor IPQoS tokenmt tswtclmt(7ipp) Describe el medidor IPQoS tswtclmt dscpmk(7ipp) Describe el mdulo marcador DSCP dlcosmk(7ipp) Describe el mdulo marcador de prioridad de usuario IPQoS 802.1D flowacct(7ipp) Describe el mdulo de control de flujo IPQoS
825
Captulo 32 Introduccin a IPQoS (Descripcin general)
Proporcionar calidad de servicio con IPQoS
acctadm(1M) Describe el comando de configuracin de funciones de control extendidas de Solaris. El comando acctadm incluye extensiones IPQoS.
Proporcionar calidad de servicio con IPQoS

Las funciones IPQoS permiten a los proveedores de Internet (ISP) y proveedores de aplicaciones (ASP) ofrecer diferentes niveles de servicio de red a los clientes. Estas funciones permiten a las empresas e instituciones educativas priorizar servicios para organizaciones internas o aplicaciones principales.
Utilizacin de acuerdos de nivel de servicio

Si su organizacin es un ISP o ASP, puede basar la configuracin IPQoS en el acuerdo de nivel de servicio (SLA) que la empresa ofrezca a sus clientes. En un acuerdo SLA, un proveedor garantiza a un cliente un nivel de servicio de red especfico segn cateogoras de precios. Por ejemplo, un acuerdo SLA de mxima calidad garantiza que el cliente reciba la prioridad mxima para todos los tipos de trfico de red 24 horas al da. Del mismo modo, un acuerdo SLA de calidad media garantiza que el cliente reciba prioridad mxima para el correo electrnico durante el horario de negocios. Y el resto de trfico puede recibir prioridad media 24 horas al da.
Garantizar la calidad de servicio para una organizacin especfica

Si su organizacin es una empresa o una institucin, tambin puede proporcionar funciones de calidad de servicio para la red. Puede garantizar que el trfico de un grupo especfico o de una aplicacin determinada reciba un grado de servicio mayor o menor.
Introduccin a la directiva de calidad de servicio

Para utilizar la calidad de servicio es necesario definir una directiva de calidad de servicio (QoS). La poltca QoS define varios atributos de red, como prioridades de clientes o aplicaciones, y acciones para tratar diferentes categoras de trfico. La directiva QoS de la organizacin se define en un archivo de configuracin IPQoS. Este archivo configura los mdulos IPQoS que residen en el ncleo del sistema operativo Solaris OS. Un host con una directiva IPQoS se considera un sistema con IPQoS. Normalmente, la directiva QoS define lo siguiente:

Grupos independientes de trfico de red denominados clases de servicio. Sistemas de medicin para regular la cantidad de trfico de red de cada clase. Estas medidas controlan el proceso de control del trfico denominado medicin.
826
Mejorar la eficacia de la red con IPQoS
Una accin que un sistema IPQoS y un encaminador Diffserv deben aplicar al flujo de un paquete. Este tipo de accin se denomina comportamiento por salto (PHB). Cualquier seguimiento de estadsticas que necesite su organizacin para una clase de servicio. Un ejemplo es el trfico generado por un cliente o aplicacin especficos.
Cuando los paquetes se transfieren a la red, el sistema con IPQoS evala los encabezados de los paquetes. La accin que realiza el sistema IPQoS la determina la directiva QoS. Las tareas para disear la directiva QoS se describen en la seccin Planificacin de la directiva de calidad de servicio en la pgina 843.

IPQoS incluye funciones que facilitan la mejora del rendimiento de la red al utilizar la calidad de servicio. Con la expansin de las redes informticas, tambin aumenta la necesidad de administrar el trfico de red generado por el nmero creciente de usuarios y los procesadores ms potentes. Algunos de los sntomas de una red saturada son la prdida de datos y la congestin del trfico. Ambos sntomas dan como resultado tiempos de respuesta lentos. En el pasado, los administradores de sistemas solucionaban los problemas de trfico de red aadiendo ms ancho de banda. A menudo, el nivel de trfico de los vnculos variaba de manera notable. Con IPQoS, puede administrar el trfico de la red y determinar con fcilidad si es necesario realizar una expansin, y dnde. Por ejemplo, para una compaa o institucin, es necesario mantener una red efectiva para evitar los cuellos de botella. Tambin es necesario garantizar que un grupo o aplicacin no consume ms ancho de banda del asignado. Para un proveedor ISP o ASP, es necesario administrar el rendimiento de la red para garantizar que los clientes reciben el servicio de red por el que pagan.
Cmo afecta el ancho de banda al trfico de red

Puede usar IPQoS para regular el ancho de banda de la red, es decir, la cantidad mxima de datos que un vnvulo de red o dispositivo puede transferir como lmite mximo. La directiva QoS debe priorizar el uso del ancho de banda para proporcionar calidad de servicio a los clientes o usuarios. Los mdulos de medicin de IPQoS permiten medir y controlar la asignacin de ancho de banda entre las diferentes clases de trfico en un host con IPQoS. Antes de poder administrar de manera efectiva el trfico de la red, debe responder a estas preguntas sobre el uso del ancho de banda:

Cules son las reas de problemas de trfico de su red local? Qu debe hacer para conseguir la utilizacin ptima del ancho de banda disponible?
827
Cules son las aplicaciones de mayor importancia de su organizacin que deben tener la prioridad mxima? Qu aplicaciones pueden congestionarse? Cules son las aplicaciones de menor importancia, que pueden tener la prioridad ms baja?
Utilizacin de clases de servicio para priorizar el trfico

Para utilizar la calidad de servicio, debe analizar el trfico de la red para determinar los grandes grupos en los que se puede dividir el trfico. Despus, debe organizar los grupos en clases de servicio con caractersticas y prioridades individuales. Estas clases forman las categoras bsicas en las que se basa la directiva QoS de la organizacin. Las clases de servicio representan los grupos de trfico que se desea controlar. Por ejemplo, un proveedor puede ofrecer niveles de servicio platino, oro, plata y bronce, con una escala de diferentes precios. Un acuerdo SLA platino puede garantizar una prioridad mxima para el trfico entrante destinado a un sitio web que el ISP aloja para el cliente. Por lo tanto, el trfico entrante del sitio web del cliente podra ser una clase de trfico. Para una empresa, se pueden crear clases de servicio basadas en los requisitos de los departamentos. Tambin se pueden crear clases basadas en el nivel de utilizacin de una aplicacin especfica en el trfico de red. A continuacin puede ver algunos ejemplos de clases de trfico de una empresa:
Aplicaciones muy utilizadas, como correo electrnico y FTP saliente a un servidor especfico, cada una podra ser una clase. Debido a que los empleados utilizan estas aplicaciones constantemente, su directiva QoS puede garantizar una pequea cantidad de ancho de banda y una prioridad ms baja al correo electrnico y FTP. Una base de datos de entrada que debe estar activa las 24 horas del da. Segn la importancia de la aplicacin de base de datos para la empresa, puede asignarle una gran cantidad de ancho de banda y una prioridad alta. Un departamento que realiza un trabajo de vital importancia o que debe tratarse con cuidado, como el departamento de salarios y nminas. La importancia del departamento para la organizacin determina la prioridad y la cantidad de ancho de banda que se le asignar. Llamadas entrantes al sitio web externo de una compaa. A esta clase se le puede asignar una pequea cantidad de ancho de banda con prioridad baja.
828
Modelo de servicios diferenciados

IPQoS incluye los siguientes mdulos, que forman parte de la arquitectura Diffserv (servicios diferenciados) definida en RFC 2475:

Clasificador Medidor Marcador
IPQoS aade las siguientes mejoras al modelo Diffserv:

Mdulo de control de flujo Marcador de datagrama 802.1D
En esta seccin se explican los mdulos Diffserv tal y como se utilizan en IPQoS. Es necesario conocer estos mdulos, sus nombres y su utilizacin para configurar la directiva QoS. Si necesita informacin detallada sobre cada mdulo, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903.
Descripcin general del clasificador (ipgpc)

En el modelo Diffserv, el clasificador selecciona paquetes del flujo de trfico de una red. Un flujo de trfico consiste en un grupo de paquetes con informacin idntica en los siguientes campos de encabezado de IP:

Direccin de origen Direccin de destino Puerto de origen Puerto de destino Nmero de protocolo
En IPQoS, estos campos se conocen como 5-tuple. El mdulo clasificador de IPQoS se llama ipgpc. El clasificador ipgpc organiza los flujos de trfico en clases basada en caratersticas definidas en el archivo de configuracin IPQoS. Si necesita informacin detallada sobre ipgpc, consulte la seccin Mdulo Classifier en la pgina 903.
Clases IPQoS
Una clase es un grupo de flujos de red que compaten caractersticas similares. Por ejemplo, un ISP puede definir clases que representen los diferentes niveles de servicio ofrecidos a los clientes. Un ASP puede definir acuerdos SLA que asignen diferents niveles de servicio a distintas aplicaciones. En la potica QoS de un ASP, una clase puede incluir trfico FTP saliente destinado a una direccin IP de destino especfica. El trfico saliente del sitio web externo de una empresa tambin puede definirse como una clase.
Captulo 32 Introduccin a IPQoS (Descripcin general) 829
Agrupar el trfico en clases es una parte importante de la planificacin de la directiva QoS. Al crear clases utilizando la herramienta ipqosconf, se est configurando el clasificador ipgpc. Si necesita informacin sobre cmo definir clases, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846.
Filtros IPQoS
Los filtros son conjuntos de reglas que contienen parmetros denominados selectores. Cada filtro debe hacer referencia a una clase. IPQoS compara los paquetes con los selectores de cada filtro para determinar si el paquete pertenece a la clase del filtro. Se puede filtrar un paquete utilizando diferentes selectores, por ejemplo, 5-tuple de IPQoS y otros parmetros comunes:

Direccin de origen y direccin de destino Puerto de origen y puerto de destino Nmeros de protocolo ID de usuario ID de proyecto Punto de cdigo de servicios diferenciados (DSCP) ndice de interfaz
Por ejemplo, un filtro sencillo puede incluir el puerto de destino con un valor de 80. A continuacin, el clasificador ipgpc selecciona todos los paquetes que estn vinculados con el puerto de destino 80 (HTTP) y gestiona los paquetes segn lo estipulado en la directiva QoS. Si necesita informacin sobre cmo crear filtros, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849.
Descripcin general de medidor (tokenmt y tswtclmt)

En el modelo Diffserv, el medidor controla la tasa de transmisin de los flujos de trfico por clase. El medidor evala la medida en que la tasa actual del flujo se ajusta a las tasas configuradas para determinar el resultado apropiado. Segn el resultado de los flujos de trfico, elmedidor selecciona una accin subsiguiente. Las acciones subsiguientes pueden incluir enviar el paquete a otra accin o devolver el paquete a la red sin ms procesamiento. Los medidores IPQoS determinan si un flujo de red cumpe la tasa de transmisin definida para su clase en la directiva QoS. IPQoS incluye dos mdulos de medicin:

tokenmt Utiliza un esquema de medicin con conjunto de dos tokens tswtclmt Utiliza un esquema de medicin de ventana de lapso de tiempo
Ambos mdulos de medicin reconocen tres resultados: rojo, amarillo y verde. Las acciones que deben tomarse para cada resultado se definen en los parmetros red_action_name, yellow_action_name y green_action_name .
Tambin puede configurar tokenmt para que tenga presente el color. Una instancia de medicin que tenga presente el color utiliza el tamao del paquete, DSCP, tasa de trfico y parmetros configurados para determinar el resultado. El medidor utiliza el DSCP para asignar el resultado del paquete al color verde, amarillo o rojo. Si necesita informacin sobre cmo definir parmetros para los medidores IPQoS, consulte la seccin Cmo planificar el control de flujo en la pgina 850.
Descripcin general de marcadores (dscpmk y dlcosmk)

En el modelo Diffserv, el marcador marca un paquete con un valor que refleja un comportamiento de redireccin. El marcado es el proceso de colocar un valor en el encabezado del paquete para indicar cmo se debe reenviar el paquete a la red. IPQoS contiene dos mdulos de marcado:
dscpmk: marca el campo DS del encabezado de un paquete IP con un valor numrico denominado punto de cdigo de servicios diferenciados o DSCP. Un encaminador que admita Diffserv puede utilizar el punto de cdigo DS para aplicar el comportamiento de reenvo correspondiente al paquete. dlcosmk Marca la etiqueta de red de rea local virtual (VLAN) del encabezado de un frame Ethernet con un valor numrico denominado prioridad de usuario. La prioridad de usuario indica la clase de servicio (CoS), que define el comportamiento de reenvo que debe aplicarse al datagrama. dlcosmk es una adicin de IPQoS que no forma parte del modelo Diffserv designado por IETF.
Si necesita informacin sobre cmo utilizar un sistema de marcadores para la directiva QoS, consulte Cmo planificar el comportamiento de reenvo en la pgina 853.
Descripcin general del control de flujo (flowacct)

IPQoS aade el mdulo de control flowacct al modelo Diffserv. El mdulo flowacct puede usarse para recopilar estadsticas sobre el flujo de trfico y cobrar a los clientes segn su acuerdo SLA. El control de flujo tambin es tli para la planificacin de la capacidad y la supervisin de sistemas. El mdulo flowacct puede usarse con el comando acctadm para crear un archivo de registro de control. Un registro bsico incluye IPQoS 5-tuple y dos atributos adicionales, como se muestra en la siguiente lista:

Direccin de origen Puerto de origen Direccin de destino

831
Puerto de destino Nmero de protocolo Nmero de paquetes Nmero de bytes
Tambin puede recopilar estadsticas de otros atributos, como se describe en la seccin Registro de informacin sobre flujos de trfico en la pgina 897, y en las pginas de comando man flowacct(7ipp) y acctadm(1M). Si necesita ms informacin sobre cmo planificar una estrategia de control de flujo, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855.
Cmo fluye el trfico a travs de los mdulso IPQoS

En la siguiente figura se muestra una ruta que puede tomar el trfico entrante a travs de algunos de los mdulos IPQoS.
832
Trfico entrante
Clasificador (ipgpc)
Medido?
No
Marcador (dscpmk)
S Medidores (tokenmt, tswtclmt) Contabilizacin? No
Trfico saliente
S Contabilidad de flujos (flowacct)

FIGURA 321
Flujo de trfico a travs de la implementacin IPQoS del modelo Diffserv
Esta figura ilustra una secuencia de flujo de trfico comn en un sistema con IPQoS: 1. El clasificador selecciona todos los paquetes del flujo que cumplen los criterios de filtrado de la directiva QoS del sistema. 2. A continuacin, se evalan los paquetes para determinar la accin que se debe ejecutar. 3. El clasificador enva al marcador cualquier trafico que no requiera control de flujo. 4. El trfico que requiere control de flujo se enva al medidor. 5. El medidor fuerza la tasa configurada. A continuacin, el medidor asigna un valor de cumplimiento de trfico a los paquetes de flujo controlado. 6. Se evalan los paquetes de flujo controlado para determinar si necesitan control. 7. El medidor enva al marcador el trfico que no requiere control de flujo. 8. El mdulo de control de flujo recopila estadsticas sobre los paquetes recibidos. A continuacin, el mdulo enva los paquetes al marcador. 9. El marcador asigna un punto de cdigo DS al encabezado del paquete. Este DSCP indica el comportamiento por salto que un sistema con Diffserv debe aplicar al paquete.
Captulo 32 Introduccin a IPQoS (Descripcin general) 833
Reenvo del trfico en una red con IPQoS

En esta seccin se explican los elementos relacionados con el reenvo de paquetes en una red con IPQoS. Un sistema con IPQoS gestiona cualquier paquete del flujo de la red con la direccin IP del sistema como destino. A continuacin, aplica la directiva QoS al paquete para establecer servicios diferenciados.
Punto de cdigo DS
El punto de cdigo DS (DSCP) define en el encabezado del paquete la accin que cualquier sistema con Diffserv debe ejecutar en un paquete marcado. La arquitectura diffserv define un conjunto de puntos de cdigo DS que utilizarn los sistemas con IPQoS y encaminadores diffserv. La arquitectura Diffserv tambin define un conjunto de acciones denominadas comportamientos de reenvo, que corresponden a los DSCP. El sistema IPQoS marca los bits precedentes del campo DS del encabezado del paquete con el DSCP. Cuando un encaminador recibe un paquete con un valor DSCP, aplica el comportamiento de reenvo asociado a dicho DSCP. Despus, el paquete se enva a la red.
Nota El marcador dlcosmk no utiliza el DSCP. En su lugar, dlcosmk marca los encabezados de frame Ethernet con un valor CoS. Si quiere configurar IPQoS en una red que utiliza dispositivos VLAN, consulte la seccin Mdulo marcador en la pgina 909.
Comportamientos por salto

En la terminologa Diffserv, el comportamiento de reenvo asignado a un DSCP se denomina comportamiento por salto (PHB). El PHB define la precedencia de reenvo que un paquete marcado recibe en relacin con otro trfico del sistema con Diffserv. Esta precedencia determina si el sistema con IPQoS o encaminador Diffserv reenva o descarta el paquete marcado. Para un paquete reenviado, cada encaminador Diffserv que el paquete encuentra en la ruta hasta su destino aplica el mismo PHB. La excepcin ocurre si otro sistema Diffserv cambia el DSCP. Si necesita ms informacin sobre PHB, consulte la seccin Utilizacin del marcador dscpmk para reenviar paquetes en la pgina 909. El objetivo de PHB es proporcionar una cantidad especfica de recusros de red a una clase de trfico en la red contigua. Puede conseguir este objetivo en la directiva QoS. Dfina los puntos DSCP que indican los niveles de precedencia para las clases de trfico cuando los flujos de trfico abandonan el sistema con IPQoS. Las precedencias pueden alternar entre alta precedencia/baja probabilidad de descarte y baja precedencia/alta probabilidad de descarte. Por ejemplo, la directiva QoS puede asignar a una clase de trfico un DSCP que garantice un PHB de baja probabilidad de descarte. Esta clase de trfico recibir un PHB de precedencia de baja probabilidad de descarte de cualquier encaminador con Diffserv, lo que garantiza el ancho
de banda para paquetes de esta clase. Puede aadir a la directiva QoS otros puntos DSCP que asignen diferentes niveles de precedencia a las clases de trfico. Los sistemas Diffserv asignan ancho de banda a los paquetes de baja precedencia segn las prioridades indicadas en los puntos DSCP de los paquetes. IPQoS admite dos tipos de comportamientos de reenvo, definidos en la arquitectura Diffserv, reenvo acelerado y reenvo asegurado.
Reenvo acelerado
el comportamiento por salto de reenvo acelerado (EF) asegura que cualquier clase de trfico con reenvos EF relacionados con DSCP tiene la mxima prioridad. El trfico con DSCP EF no se pone en cola. EF proporciona una prdida de datos, latencia y demora mnimas. El DSCP recomendado para EF es 101110. Un paquete que est marcado con 101110 recibe una precedencia de baja probabilidad de descarte asegurada al atravesar redes Diffserv hacia su destino. Utilice DSCP EF al asignar prioridad a clientes o aplicaciones con un acuerdo SLA de nivel alto.
Reenvo asegurado
El comportamiento por salto de reenvo asegurado (AF) proporciona cuatro clases de reenvo diferentes que se pueden asignar a un paquete. Cada clase de reenvo proporciona tres precedencias de descarte, tal y como se muestra en la Tabla 372. Los diferentes puntos de cdigo AF permiten asignar distintos niveles de servicio a clientes y aplicaciones. Puede priorizar trfico y servicios de la red al planificar la directiva QoS. Despus, puede asignar diferentes niveles AF para priorizar el trfico.
Reenvo de paquetes en un entorno Diffserv

La siguiente figura muestra parte de una intranet de una empresa con un entorno que utiliza Diffserv parcialmente. En este escenario, todos los hosts de las redes 10.10.0.0 y 10.14.0.0 utilizan IPQoS y los encaminadores locales de ambas redes tienen Diffserv. Aunque las redes intermedias no estn configuradas para utilizar Diffserv.
835
Paquete 010100 AF22 PHB Campo de tipo de servicio
ipqos1 10.10.75.14
10.10.0.0 red 10.12.0.0 red 10.13.0.0 red 10.14.0.0 red ipqos2 10.14.60.2
diffrouter1
genrouter
diffrouter2
FIGURA 322
Reenvo de paquetes en saltos de red con Diffserv
Los siguientes pasos muestran el flujo del paquete mostrado en la figura. Los pasos comienzan con el progreso de un paquete originado en el host ipqos1. Los pasos continan con varios saltos hasta el host ipqos2. 1. El usuario de ipqos1 ejecuta el comando ftp para acceder al host ipqos2, que est tres saltos ms all. 2. ipqos1 aplica su directiva QoS al flujo de paquetes resultante. Despus, ipqos1 clasifica el trfico ftp. El administrador del sistema ha creado una clase para todo el trfico ftp saliente con origen en la red local 10.10.0.0. Se asigna el comportamiento por salto AF22 al trfico de la clase ftp: clase dos, precedencia de descarte media. Se ha asignado una tasa de flujo de trfico de 2 Mb/seg a la clase ftp. 3. ipqos-1 mide el flujo ftp para determinar si excede la tasa asiganda de 2 Mbit/seg. 4. El marcador de ipqos1 marca los campos DS de los paquetes ftp salientes con el DSCP 010100, que corresponde a AF22 PHB. 5. El encaminador diffrouter1 recibe los paquetes ftp . A continuacin, diffrouter1 comprueba el DSCP. Si diffrouter1 est congestionado, los paquetes marcados con AF22 se descartan. 6. El trfico ftp se reenva al siguiente salto de acuerdo con el comportamiento por salto configurado para AF22 en los archivos de diffrouter1 .
7. El trfico ftp atraviesa la red 10.12.0.0 hasta genrouter, que no utiliza Diffserv. Como resultado, el trfico recibe el comportamiento de reenvo "mejor posible". 8. genrouter pasa el trfico ftp a la red 10.13.0.0, donde lo recibe diffrouter2. 9. diffrouter2 utiliza Diffserv. Por lo tanto, el encaminador reenva los paquetes ftp a la red de acuerdo con el PHB definido en la directiva del encaminador para paquetes AF22. 10. ipqos2 recibe el trfico ftp. ipqos2 solicita al usuario de ipqos1 un nombre de usuario y contrasea.
837
838
C A P T U L O
Planificacin para una red con IPQoS (Tareas)
33
3 3
Puede configurar IPQoS en cualquier sistema que tenga el sistema operativo Solaris OS. El sistema IPQoS funciona con encaminadores con Diffserv para proporcionar servicios diferenciados y administracin del trfico en una intranet. Este captulo contiene tareas de planificacin para aadir sistemas con IPQoS a una red con Diffserv. Se tratan los temas siguientes.

Planificacin de configuracin IPQoS general (Mapa de tareas) en la pgina 839 Planificacin de la distribucin de la red Diffserv en la pgina 840 Planificacin de la directiva de calidad de servicio en la pgina 843 Planificacin de la directiva QoS (Mapa de tareas) en la pgina 844 Introduccin al ejemplo de configuracin IPQoS en la pgina 856
Planificacin de configuracin IPQoS general (Mapa de tareas)

Utilizar servicios diferenciados, como IPQoS, en una red requiere una planificacin exhaustiva. Debe considerarse no slo la posicin y funcin de cada sistema con IPQoS, sino tambin la relacin de cada sistema con el encaminador de la red local. En el siguiente mapa de tareas se enumeran las tareas de planificacin bsicas para utilizar IPQoS en la red.
1. Planificar una distribucin de red Diffserv que incorpore los sistemas con IPQoS.
Adquirir conocimientos sobre las diferentes distribuciones de red Diffserv para determinar cul es la mejor solucin en su caso.
Planificacin de la distribucin de la red Diffserv en la pgina 840.
839
Planificacin de la distribucin de la red Diffserv
Tarea
Descripcin
2. Planificar los diferentes tipos de Organizar los tipos de servicios que Planificacin de la directiva de servicios que ofrecern los sistemas proporciona la red en acuerdos de calidad de servicio IPQoS. nivel de servicio (SLA). en la pgina 843. 3. Planificar la directiva QoS para cada sistema IPQoS. Decidir cules son las funciones de clases, medicin y recopilacin de datos necesarias para cada acuerdo SLA. Establecer las directivas de planificacin y espera en cola del encaminador Diffserv utilizado con los sistemas IPQoS. Planificacin de la directiva de calidad de servicio en la pgina 843. Consulte la documentacin del encaminador si necesita informacin sobre las directivas de espera en cola y planificacin.
4. Si procede, planificar la directiva del encaminador Diffserv.

Para proporcionar servicios diferenciados en la red, necesita al menos un sistema con IPQoS y un encaminador con Diffserv. Puede expandir esta configuracin bsica de diferentes modos, como se explica en esta seccin.
Estrategias de hardware para la red Diffserv

Normalmente, los clientes utilizan IPQoS en servidores y consolidaciones de servidores, como Sun EnterpriseTM 0000. Tambin puede utilizar IPQoS en sistemas de sobremesa, como UltraSPARC, segn las necesidades de la red. La siguiente lista contiene posibles sistemas para una configuracin IPQoS:

Sistemas Solaris que ofrecen varios servicios, como servidores Web o de base de datos Servidores de aplicaciones que ofrecen servicios de correo electrnico, FTP y otras aplicaciones de red comunes Servidores de cach Web o proxy Redes de conjuntos de servidores con IPQoS administradas por equilibradores de carga con Diffserv Cortafuegos que administran el trfico de una red heterognea Sistemas IPQoS que forman parte de una red de rea local (LAN) virtual
Puede integrar sistemas IPQoS en una distribucin de red que ya tenga encaminadores con Diffserv en funcionamiento. Si el encaminador que utiliza no admite Diffserv, considere las soluciones Diffserv que ofrecen Cisco Systems, Juniper Networks y otros fabricantes de encaminadores. Si el encaminador local no utiliza Diffserv, se limita a transferir los paquetes marcados al siguiente salto sin evaluar las marcas.
Distribuciones de red IPQoS

En esta seccin se ilustran estrategias IPQoS para redes con diferentes requisitos.
IPQoS en hosts individuales

La siguiente figura ilustra una red de sistemas con IPQoS.
Encaminador diffserv
Conmutador
Otros sistemas Servidor FTP Servidor de base de datos Oracle Servidor Web
Sistemas Solaris habilitados para IPQoS

FIGURA 331
Sistemas IPQoS en un segmento de red
Esta red es slo un segmento de una intranet empresarial. Activando IPQoS en los servidores de aplicaciones y servidores Web, puede controlar la tasa a la que cada sistema IPQoS enva el trfico saliente. Si configura el encaminador para utilizar Diffserv, puede obtener un mayor grado de control del trfico entrante y saliente. El ejemplo de esta gua utiliza una configuracin con IPQoS en un nico host. Para ver la distribucin de ejemplo que se utiliza en esta gua, consulte la Figura 334.
IPQoS en una red de conjuntos de servidores

La siguiente figura muestra una red con varios conjuntos de servidores heterogneos.
Captulo 33 Planificacin para una red con IPQoS (Tareas)
841
Encaminador
Equilibrador de cargas
Sistema Solaris habilitado para IPQoS
Grupos de servidores
FIGURA 332
Red de conjuntos de servidores con IPQoS
En esta distribucin, en encaminador utiliza Diffserv y, por lo tanto, puede poner en cola y tasar el trfico entrante y saliente. El equilibrador de carga tambin utiliza Diffserv y los conjuntos de servidiores usan IPQoS. El equilibrador de carga permite realizar un filtrado adicional al del encaminador utilizando selectores como el ID de usuario o de proyecto. Estos selectores estn incluidos en los datos de aplicacin. Esta configuracin permite controlar el flujo y reenviar el trfico para administrar la congestin en la red local. Tambin evita que el trfico saliente de los conjuntos de servidores sobrecargue otros sectores de la intranet.
IPQoS en un cortafuegos
La siguiente figura muestra un segmento de una red corporativa protegido de otros segmentos mediante un cortafuegos.
842
Planificacin de la directiva de calidad de servicio
Encaminador diffserv
Cortafuegos
Sistema Solaris habilitado para IPQoS
Sistema Solaris PC
FIGURA 333
Otros hosts
PC
Red protegida por un cortafuegos con IPQoS
En esta configuracin, el trfico fluye hasta un encaminador con Diffserv que filtra y pone en cola los paquetes. Todo el trfico entrante reenviado por el encaminador se transfiere al cortafuegos con IPQoS. Para utilizar IPQoS, el cortafuegos no debe omitir la pila de reenvo de IP. La directiva de seguridad del cortafuegos determina si el trfico entrante puede entrar o salir de la red interna. La directiva QoS controla los niveles de servicio para el trfico entrante que ha pasado el cortafuegos. Segn la directiva QoS, el trfico saliente tambin puede marcarse con un comportamiento de reenvo.

Al planificar la directiva de calidad de servicio (QoS) debe revisar, clasificar y despus priorizar los servicios que proporciona la red. Tambin debe evaluar la cantidad de ancho de banda disponible para determinar la tasa a la que cada clase de trfico se transfiere en la red.
Ayudas para planificar la directiva QoS

Recopile informacin para planificar la directiva QoS en un formato que incluya los datos necesarios para el archivo de configuracin IPQoS. Por ejemplo, puede usar la siguiente plantilla para realizar una lista de las categoras de informacin principales que se utilizarn en el archivo de configuracin IPQoS.
843
TABLA 331
Plantilla de planificacin QoS

Prioridad Filtro Selector Tasa Reenvo? Recopilacin de datos?
Clase
Clase 1
Filtro 1 Filtro 3
Selector 1 Selector 2
Tasas de medidor, segn tipo de medidor
Precedencia de descarte de marador
Requiere estadsticas de recopilacin de datos de flujo N/D
Clase 1
Filtro 2
N/D
N/D
Clase 2
Filtro 1
Tasas de medidor, segn tipo de medidor
Precedencia de descarte de marador
Requiere estadsticas de recopilacin de datos de flujo N/D
Clase 2
Filtro 2
N/D
N/D
Puede dividir cada categora principal para definir ms la directiva QoS. En las siguientes secciones se explica cmo obtener informacin sobre las categoras mostradas en la plantilla.
Planificacin de la directiva QoS (Mapa de tareas)

Este mapa de tareas enumera las tareas principales para planificar una directiva QoS.
1. Disear la distribucin de red para que sea compatible con IPQoS. 2. Definir las clases en las que los servicios de la red deben dividirse.
Identifcar los hosts y encaminadores de la red para proporcionar servicios diferenciados. Examinar los tipos de servicios y acuerdos SLA que ofrece su organizacin y determinar las clases de trfico independientes a las que pertenece cada servicio. Determinar el mejor modo de separar el trfico de una clase especfica del flujo de trfico de la red.
Cmo preparar una red para IPQoS en la pgina 845 Cmo definir las clases de la directiva QoS en la pgina 846
3. Definir filtros para las clases.
Cmo definir filtros en la directiva QoS en la pgina 849
844
Tarea
Descripcin
4. Definir tasas de control de flujo para medir el trfico cuando los paquetes salen del sistema IPQoS.
Determinar tasas de flujo aceptables para cada clase de trfico.
Cmo planificar el control de flujo en la pgina 850 Cmo planificar el comportamiento de reenvo en la pgina 853
5. Definir los puntos DSCP o valores de Planificar un esquema para determinar el prioridad de usuario que se deben untilizar comportamiento de reenvo asignado a un en la directiva QoS. flujo de trfico cuando lo controla el encaminador o nodo. 6. Si procede, definir un plan de supervisin de estadsticas para los flujos de trfico de la red.
Evaluar las clases de trfico para Cmo planificar la recopilacin de datos determinar qu flujos de trfico deben de flujo en la pgina 855 supervisarse por cuestiones de recopilacin de datos o estadsticas.
Nota En el resto de esta seccin se explica cmo planificar la directiva QoS de un sistema con
IPQoS. Para planificar la directiva QoS del encaminador Diffserv, consulte la documentacin y el sitio web del fabricante del encaminador.
Cmo preparar una red para IPQoS

El siguiente procedimiento contiene tareas generales que llevar a cabo antes de crear la directiva QoS.
Revisar la distribucin de la red. Despus, planificar una estrategia que utilice sistemas IPQoS y encaminadores Diffserv. Para ver ejemplos de distribucin de la red, consulte la seccin Planificacin de la distribucin de la red Diffserv en la pgina 840.
Identificar los hosts de la distribucin de red que requieren IPQoS o que pueden ser buenos candidatos para el servicio IPQoS. Determinar qu sistemas con IPQoS pueden usar la misma directiva QoS. Por ejemplo, si piensa activar IPQoS en todos los hosts de la red, identifique los hosts que pueden usar la misma directiva QoS. Cada sistema con IPQoS debe tener una directiva QoS local, que se implementa en el archivo de configuracin IPQoS correspondiente. Aunque puede crear un archivo de configuracin IPQoS que utilicen varios sistemas. Despus puede copiar el archivo de configuracin en los sistemas que tengan los mismos requisitos de directiva QoS.
845
Revisar y realizar cualquier tarea de planificacin requerida por el encaminador Diffserv de la red. Consulte la documentacin y el sitio web del fabricante del encaminador si necesita ms informacin.
Cmo definir las clases de la directiva QoS

El primer paso para definir la directiva QoS es organizar los flujos de trfico en clases. No es necesario crear una clase para cada tipo de trfico en una red Diffserv. Segn la distribucin de la red, puede que necesite crear una directiva QoS diferente para cada sistema con IPQoS.
Nota Para ver una descripcin general de las clases, consulte la seccin Clases IPQoS en la pgina 829.
En el siguiente procedimiento se asume que ya ha determinado qu sistemas de la red utilizarn IPQoS, como se explica en la seccin Cmo preparar una red para IPQoS en la pgina 845.
1
Crear una tabla de planificacin QoS para organizar la informacin de directiva QoS. Para ver sugerencias, consulte la Tabla 331. Realizar el resto de los pasos para cada directiva QoS de la red. Definir las clases que utilizar en la directiva QoS. Las siguientes preguntas son una gua para analizar el trfico de red para posibles definiciones de clases.
2 3
Su empresa ofrece acuerdos de nivel de servicio a los clientes? En caso afirmativo, evale los niveles de prioridad relativa de los acuerdos SLA que su empresa ofrece a los clientes. Las mismas aplicaciones pueden ofrecerse a clientes con niveles de prioridad diferentes garantizados. Por ejemplo, su empresa puede ofrecer alojamiento de sitios web a cada cliente, lo que indica que necesita definir una clase para cada sitio web de cliente. Un acuerdo SLA puede ofrecer un sitio web de nivel alto como un nilvel de servicio. Otro acuerdo SLA puede ofrecer un sitio web personal "best-effort" a clientes con descuento. Este factor no slo implica diferentes clases de sitio web sino tambin diferentes comportambientos por salto que se asignan a las clases de sitio web.
El sistema IPQoS ofrece aplicaciones comunes que necesitan control de flujo? Puede mejorar el rendimiento de la red activando IPQoS en servidores que ofrecen aplicaciones comunes que generan mucho trfico. Algunos ejemplos son el correo electrnico, noticias de red y FTP. Considere la posibilidad de crear clases independientes
846
para el trfico entrante y saliente para cada tipo de servicio, si corresponde. Por ejemplo, puede crear una clase mail-in y una clase mail-out para la directiva QoS de un servidor de correo.
La red contiene aplicaciones que requieren comportamientos de reenvo de mxima prioridad? Cualquier aplicacin importante que requiera comportamientos de reenvo de mxima prioridad debe recibir la mxima prioridad en la cola del encaminador. Los ejemplos ms tpicos son el streaming de vdeo y audio. Definir clases de entrada y clases de salida para estas aplicaciones de alta prioridad. Despus, aadir las clases a las directivas QoS del sistema con IPQoS que proporciona las aplicaciones y del encaminador Diffserv.
La red tiene flujos de trfico que deben controlarse porque consumen grandes cantidades de ancho de banda? Utilizar netstat , snoop y otras herrmientas de supervisin de la red para descubrir los tipos de trfico que causan problemas en la red. Revisar las clases creadas hasta ahora y crear clases para cualquier categora de trfico con problemas no definidos. Si ya ha definido clases para una categora de trfico problemtico, defina tasas para que el medidor controle el trfico. Crear clases para el trfico problemtico en cada sistema con IPQoS de la red. Despus, cada sistema IPQoS puede gestionar el trfico problemtico limitando la tasa a la que el flujo de trfico se enva en la red. Asegrese de definir estas clases de problemas en la directiva QoS del encaminador Diffserv. Despus, el encaminador puede poner en cola y planificar los flujos problemticos de acuerdo con la configuracin de la directiva QoS.
Necesita estadsticas sobre determinados tipos de trfico? Una revisin rpida del acuerdo SLA permite determinar qu tipos de trfico del cliente requieren recopilacin de datos. Si su empresa ofrece acuerdos SLA, es probable que ya haya creado clases para el trfico que requiere recopilacin de datos. Tambin puede definir clases para activar la recopilacin de estadsticas en flujos de trafico qu eest supervisando. Tambin es posilbe crear clases para trfico al que se restringe el acceso por motivos de seguridad.
4 5
Enumerar las clases definidas en la tabla de planificacin QoS creada en el paso 1. Asignar un nivel de prioridad a cada clase. Por ejemplo, el nivel de prioridad 1 representa la clase de prioridad mxima y se asignan priordiades de nivel descendentes al resto de clases. El nivel de priordiad que se asigna slo tiene propsito organizativo. Los niveles de prioridad definidos en la plantilla de directiva QoS no se utilizan en IPQoS. De hecho, puede asignar la misma prioridad a varias clases, si es apropiado para la directiva QoS. Cuando haya terminado de definir las clases, puede definir filtros para cada clase, como se explica en Cmo definir filtros en la directiva QoSen la pgina 849.
Captulo 33 Planificacin para una red con IPQoS (Tareas) 847
Ms informacin
Priorizar las clases

Al crear clases, resulta fcil ver cules tiene la prioridad mxima, la prioridad media y la prioridad "best-effort". Un buen esquema para priorizar clases resulta especialmente importante si se asignan comportamientos por salto al trfico saliente, como se explica en la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Adems de asignar un PHB a una clase, tambin puede definir un selector de prioridad en un filtro para la clase. El selector de prioridad est activo slo en el host con IPQoS. Imagine que varias clases con tasas iguales y puntos DSCP idnticos en ocasiones compiten por el ancho de banda al salir del sistema IPQoS. El selector de prioridad de cada clase puede ordenar el nivel de servicio que se asigna a dos clases con valores que de otro modo seran idnticos.
Definir filtros
Puede crear filtros para identificar flujos de paquetes como miembros de una clase especfica. Cada filtro contiene selectores, que definen los criterios para evaluar un flujo de paquetes. El sistema con IPQoS utiliza los criterios de los selectores para extraer paquetes de un flujo de trfico. Despus, el sistema IPQoS asocia los paquetes con una clase. Para ver una intruduccin a los filtros, consulte la seccin Filtros IPQoS en la pgina 830. En la siguiente tabla se enumeran los selectores ms usados. Los cinco selectores representan el 5-tuple IPQoS, que el sistema IPQoS utiliza para identificar paquetes como miembros de un flujo. Para ver una lista completa de selectores, consulte la Tabla 371.
TABLA 332 Nombre
Selectores IPQoS comunes

Definicin
saddr daddr sport
Direccin de origen. Direccin de destino. Nmero de puerto de origen. Puede usar un nmero de puerto conocido, definido en /etc/services o un nmero de puerto definido por el usuario. Nmero de puerto de destino. Nmero de protocolo IP o nombre de protocolo asignado al tipo de flujo de trfico en /etc/protocols. Estilo de direcciones que usar. Se utiliza IPv4 o IPv6. IPv4 es el predeterminado. Contenido del campo DS, es decir, el punto DSCP. Utilice este selector para extraer paquetes entrantes que ya estn marcados con un DSCP especfico. Nivel de prioridad asignado a la clase. Si necesita ms informacin, consulte Cmo definir las clases de la directiva QoS en la pgina 846.
dport protocol
ip_version dsfield
priority
848
TABLA 332 Nombre
Selectores IPQoS comunes
(Continuacin)
Definicin
user
El ID de usuario de UNIX o nombre de usuario que se utiliza cuando se ejecuta la aplicacin de nivel superior. ID de proyecto que se utiliza cuando se ejecuta la aplicacin de nivel superior. Direccin del fujo de trfico. El valor es LOCAL_IN, LOCAL_OUT, FWD_IN o FWD_OUT.
projid direction
Nota Elija los selectores con detenimiento. Utilice slo los selectores necesarios para extraer
paquetes de una clase. Cuantos ms selectores defina, ms se ver afectado el rendimiento IPQoS.
Antes de empezar 1
Cmo definir filtros en la directiva QoS

Antes de llevar a cabo los siguientes pasos, debe haber completado el procedimiento Cmo definir las clases de la directiva QoS en la pgina 846. Cree al menos un filtro para cada clase de la tabla de planificacin QoS creada en la seccin Cmo definir las clases de la directiva QoSen la pgina 846. Considere la posibilidad de crear filtros independientes para el trfico entrante y saliente de cada clase, si procede. Por ejemplo, aada un filtro ftp-in y un filtro ftp-out a la directiva QoS de un servidor con IPQoS. Despus puede definir un selector direction apropiado adems de los selectores bsicos. Defina al menos un selector para cada filtro de una clase. Utilice la tabla de planificacin QoS que se ha introducido en la Tabla 331 para rellenar los filtros de las clases definidas.
Ejemplo 331
Definir filtros para el trfico FTP

En la siguiente tabla se muestra cmo definir un filtro para el trfico FTP saliente.
Clase Prioridad Filtros Selectores
ftp-traffic
ftp-out
saddr 10.190.17.44 daddr 10.100.10.53 sport 21 direction LOCAL_OUT
849
Vase tambin
Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850. Para definir comportamientos de reenvo para flujos que vuelven al flujo de red, consulte Cmo planificar el comportamiento de reenvo en la pgina 853. Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849.
Cmo planificar el control de flujo

El control de flujo implica medir el flujo de trfico de una clase y transferir los paquetes en la red a una tasa definida. Al planificar el control de flujo, se definen los parmetros que utilizarn los mdulos de medicin IPQoS. Los medidores determinan la tasa a la que se transfiere el trfico en la red. Para ver una introduccin a los mdulos de medicin, consulte la seccin Descripcin general de medidor (tokenmt y tswtclmt) en la pgina 830. En el siguiente procedimiento se asume que ha definido filtros y selectores, como se describe en la seccin Cmo definir filtros en la directiva QoS en la pgina 849.
1 2
Determine el ancho de banda mximo de la red. Revise cualquier acuerdo SLA que ofrezca su red. Identifique los clientes y los tipos de servicio garantizados a cada cliente. Para garantizar un nivel de servicio determinado, es posible que necesite medir ciertas clases de trfico generadas por el cliente.
Revise la lista de clases creadas en la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Determine si hay alguna otra clase, a parte de las asociadas con acuerdos SLA, que deba medirse. Suponga que el sistema IPQoS incluye una aplicacin que genera mucho trfico. Despus de clasificar el trfico de la aplicacin, mida los flujos para controlar la tasa a la que los paquetes del flujo vuelven a la red.
Nota No es necesario medir todas las clases. Tenga en mente estas directrices al revisar la lista de clases.
850
Determine qu filtros de cada clase seleccionan el trfico que necesita control de flujo. Despus, refine la lista de clases que necesitan medicin. Las clases que tengan varios filtros pueden necesitar medicin slo para un filtro. Suponga que define filtros para el trfico entrante y saliente de una clase especfica. Puede llegar a la conclusin de que slo el trfico en una direccin requiere control de flujo.
Elija un mdulo de medicin para cada clase con control de flujo. Aada el nombre de mdulo a la columna de medicin de la tabla de planificacin QoS.
Aada las tasas de cada clase que se medir a la tabla de organizacin. Si utiliza el mdulo tokenmt, deber definir las siguientes tasas en bits por segundo:

Tasa asignada Tasa mxima
Si estas tasas son suficientes para medir una clase especfica, puede definir solamente la tasa asignada y rfaga asignada para tokenmt. Si es necesario, puede definir tambin las siguientes tasas:

Rfaga asignada Rfaga mxima
Para ver una definicin completa de las tasas de tokenmt, consulte la seccin Configuracin de tokenmt como medidor de doble tasa en la pgina 907. Tambin puede encontrar informacin detallada en la pgina de comando man tokenmt (7ipp). Si utiliza el mdulo tswtclmt, debe definir las siguientes tasas en bits por segundo.

Tasa asignada Tasa mxima
Tambin puede definir el tamao de la ventana en milisegundos. Estas tasas estn definidas en la seccin Mdulo de medicin tswtclmt en la pgina 908 y en la pgina de comando man twstclmt (7ipp).
7
Aada resultados de cumplimiento del trfico al metro medido. Los resultados de ambos mdulos de medicin son verde, rojo y amarillo. Aada a la tabla de organizacin QoS los resultados de cumplimiento del trfico aplicables a las tasas definidas. Los resultados de los medidores estn explicados en la seccin Mdulo Meter en la pgina 906. Debe determinar qu acciones deben realizarse con el trfico que cumple, o no cumple, la tasa asignada. Normalmente, pero no siempre, la accin consiste en marcar el encabezado del paquete con un comportamiento por salto. Una accin aceptable para el trfico de nivel verde es continuar el procesamiento mientras los flujos de trfico no excedan la tasa asignada. Otra accin sera descartar los paquetes de la clase si los flujos exceden la tasa mxima.
Ejemplo 332
Definir medidores
La siguiente tabla muestra entradas de medidor para una clase de trfico de correo electrnico. La red en la que se encuentra el sistema IPQoS tiene un ancho de banda total de 100 Mbits/seg, o 10000000 bits por segundo. La directiva QoS asigna una prioridad baja a la clase de correo electrnico. Esta clase tambin recibe un comportamiento de reenvo "best-effort".
Clase Prioridad Filtro Selector Tasa
email
mail_in
daddr10.50.50.5 dport imap direction LOCAL_IN
email
mail_out
saddr10.50.50.5 sport imap direction LOCAL_OUT
medidor=tokenmt tasa asignada=5000000 rfaga asignada =5000000 tasa mxima =10000000 rfaga mxima=1000000 precedencia verde=continuar procesando precendencia amarilla=marcar PHB amarillo precedencia roja=descartar
Vase tambin
Para definir los comportamientos de reenvo para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849. Para definir otro esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850. Para crear un archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
852
Cmo planificar el comportamiento de reenvo

El comportamiento de reenvo determina la prioridad y precedencia de descarte de los flujos de trfico que se van a reenvar a la red. Puede elegir dos comportamientos de reenvo principales: priorizar los flujos de una clase en relacin con otras clases de trfico o descartar los flujos por completo. El modelo Diffserv utiliza el marcador para asignar el comportamiento de reenvo elegido a los flujos de trfico. IPQoS ofrece los siguiente mdulos de marcador.

dscpmk Se utiliza para marcar el campo DS de un paquete IP con un DSCP dlcosmk Se utiliza para marcar la etiqueta VLAN de un datagrama con un valor de clase de servicio (CoS)
Nota Las sugerencias de esta seccin hacen referencia especficamente a paquetes IP. Si el sistema IPQoS incluye un dispositivo VLAN, puede usar el marcador dlcosmk para marcar comportamientos de reenvo para datagramas. Si necesita ms informacin, consulte la seccin Uso del marcador dlcosmk con dispositivos VLAN en la pgina 911.
Para priorizar el trfico IP, debe asignar un punto DSCP a cada paquete. El marcador dscpmk marca el campo DS del paquete con el DSCP. El DSCP de una clase se elige de un grupo de puntos de cdigo conocidos asociados con el tipo de comportamiento de reenvo. Estos puntos de cdigo conocidos son 46 (101110) para el comportamiento PHB EF y un conjunto de puntos de cdigo para el comportamiento PHB AF. Para ver una descripcin general de los puntos DSCP y el reenvo, consulte la seccin Reenvo del trfico en una red con IPQoS en la pgina 834.
Antes de empezar
En los siguientes pasos se asume que ha definido clases y filtros para la directiva QoS. Aunque normalmente se usa el medidor con el marcador para controlar el trfico, puede usarse solamente el marcador para definir un comportamiento de reenvo. Revise las clases creadas hasta ahora y las prioridades asignadas a cada clase. No es necesario que se marquen todas las clases de trfico.
Asigne el comportamiento por salto EF a la clase con la prioridad ms alta. El comportamiento PHB EF garantiza que los paquetes con el punto DSCP EF 46 (101110) se transfieren a la red antes que los paquetes con cualquier comportamiento PHB AF. Utilice el comportamiento PHB EF para el trfico de mayor prioridad. Si necesita ms informacin sobre EF, consulte la seccin Reenvo acelerado (EF) PHB en la pgina 910.
Asigen comportamientos de reenvo a clases cuyo trfico se va a medir.

Asigne puntos de cdigo DS al resto de clases, de acuerdo con las prioridades asignadas a las clases.
Ejemplo 333
Directiva QoS para una aplicacin de juegos

El trfico se suele medir segn los siguientes criterios:
Un acuerdo SLA garantiza a los paquetes de esta clase un servicio de nivel alto o de nivel bajo cuando la red tiene mucho trfico. Una clase con una prioridad ms baja puede colapsar la red.
Se utiliza el marcador con el medidor para proporcionar servicios diferenciados y administracin del ancho de banda a estas clases. Por ejemplo, la siguiente tabla muestra una parte de una directiva QoS. Esta directiva define una clase para una aplicacin de juegos muy utilizada que genera un alto volumen de trfico.
Clase Prioridad Filtro Selector Tasa Reenvo?
games_app games_app
9 9
games_in games_out
sport 6080 dport 6081
N/D medidor=tokenmt tasa asignada=5000000 rfaga asignada =5000000 tasa mxima =10000000 rfaga mxima=15000000 precedencia verde=continuar procesando precendencia amarilla=marcar PHB amarillo precedencia roja=descartar
N/D verde =AF31 amarillo=AF42 rojo=descartar
Los comportamientos de reenvo asignan puntos DSCP de baja prioridad al trfico games_app que cumple su tasa asignada o est por debajo de la tasa mxima. Cuando el trfico games_app excede la tasa mxima, la directiva QoS indica que los paquetes de games_app deben descartarse. Todos los puntos de cdigo AF se enumeran en la Tabla 372.
854
Vase tambin
Para planificar la recopilacin de datos de flujo de determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849. Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850. Para definir comportamientos de reenvo adicionales para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Para crear un archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
Cmo planificar la recopilacin de datos de flujo

El mdulo IPQoS flowacct se utiliza para supervisar los flujos de trfico por motivos de facturacin o de administracin de la red. Utilice el siguiente procedimiento para determinar si su directiva QoS debe incluir recopilacin de datos sobre flujo.
Su empresa ofrece acuerdos SLA a los clientes? Si la respuesta es "s", debe recopilar datos sobre el flujo. Revise los acuerdos SLA para determinar qu tipos de trfico de red desea ofrecer su empresa a los clientes. A continuacin, revise la directiva QoS para determinar qu clases seleccionan el trfico que se facturar. Hay aplicaciones que deben supervisarse o comprobarse para evitar problemas de red? Si la respusta es "s", considere la posibilidad de recopilar datos sobre el flujo para observar el comportamiento de estas aplicaciones. Revise la directiva QoS para determinar qu clases ha asignado al trfico que requiere supervisin.
En la tabla de planificacin QoS, marque una Y en la columna de recopilacin de datos sobre el flujo de las clases que requieran recopilacin de datos.
Vase tambin
Para aadir ms clases a la directiva QoS, consulte la seccin Cmo definir las clases de la directiva QoS en la pgina 846. Para aadir ms filtros a la directiva QoS, consulte la seccin Cmo definir filtros en la directiva QoS en la pgina 849. Para definir un esquema de control de flujo, consulte la seccin Cmo planificar el control de flujo en la pgina 850.
855
Introduccin al ejemplo de configuracin IPQoS
Para definir los comportamientos de reenvo para flujos cuando los paquetes vuelven al flujo de red, consulte la seccin Cmo planificar el comportamiento de reenvo en la pgina 853. Para planificar la recopilacin de datos adicional para determinados tipos de trfico, consulte la seccin Cmo planificar la recopilacin de datos de flujo en la pgina 855. Para crear el archivo de configuracin IPQoS, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.

Las tareas de los siguientes captulos de la gua utilizan la configuracin IPQoS de ejemplo de esta seccin. El ejemplo muestra la solucin de servicios diferenciados de la intranet pblica de BigISP, un proveedor de servicios ficticio. BigISP ofrece servicios a grandes empresas que acceder a BigISP a travs de lneas arrendadas. Los indivduos que se conectan desde mdems tambin puede adquirir servicios de BigISP.
Distribucin IPQoS
La siguiente figura muestra la distribucin de red que utiliza la intranet pblica de BigISP.
856
Otras compaas Lneas arrendadas Red de nivel 0 10.10.0.0 Red de nivel 1 10.11.0.0
Goldco
Internet
Usuario 1
Usuario 2
Lneas telefnicas Encaminador grande diffserv ISP grande
Goldweb IPQoS
Otros servidores Web
Usuario Web IPQoS
Red de nivel 2 10.12.0.0
Otras aplicaciones
APPS grandes (SMTP, noticias) FTP IPQoS
Red de nivel 3 10.13.0.0
datarouter diffserv
Servidores de bases de datos

FIGURA 334
Ejemplo de distribucin IPQoS
BigISP utiliza cuatro niveles en su intranet pblica:
Nivel 0 La red 10.10.0.0 incluye un encaminador Diffserv llamado Bigrouter, con interfaz externa e interna. Varias empresas, entre ellas una organizacin llamada Goldco, han alquilado servicios de lnea arrendada que finalizan en Bigrouter. EL nivel 0 tambin gestiona los clientes individuales que llaman desde lneas telefnicas o RDSI. Nivel 1 La red 10.11.0.0 proporciona servicios Web. El servidor Goldweb aloja el sitio web adquirido por Goldco como parte del servicio de alto nivel que Goldco ha adquirido de BigISP. El servidor Userweb aloja sitios web pequeos adquiridos por clientes individuales. Ambos servidores, Goldweb y Userweb utilizan IPQoS.
857
Nivel 2 La red 10.12.0.0 proporciona aplicaciones para todos los clientes. BigAPPS, uno de los servidores de aplicaciones, utiliza IPQoS. BigAPPS proporciona servicios SMTP, de noticias y FTP. Nivel 3 La red 10.13.0.0 aloja grandes servidores de base de datos. El acceso al Nivel 3 est controlado por datarouter, un encaminador Diffserv.
858
C A P T U L O
Creacin del archivo de configuracin IPQoS (Tareas)
34
3 4
En este captulo se explica cmo crear archivos de configuracin IPQoS. El captulo trata los siguientes temas.
Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) en la pgina 859 Herramientas para crear una directiva QoS en la pgina 861 Crear archivos de configuracin IPQoS para servidores web en la pgina 862 Crear un archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 876 Proporcionar servicios diferenciados en un encaminador en la pgina 886
En este captulo se asume que el usuario ha definido una directiva QoS completa y que est listo para utilizarla como base para el archivo de configuracin IPQoS. Si necesita instrucciones sobre la planificacin de directivas QoS, consulte el tema Planificacin de la directiva de calidad de servicio en la pgina 843.
Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea)

Este mapa de tarea enumera las tareas generales para crear un archivo de configuracin IPQoS.
1. Planificar la configuracin de red Decidir qu sistemas de la red local con IPQoS. van a utilizar IPQoS.
Cmo preparar una red para IPQoS en la pgina 845
859
Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea)
Tarea
Descripcin
2. Planificar la directiva QoS para sistemas IPQoS de la red.
Identificar flujos de trfico como Planificacin de la directiva de diferentes clases de servicio. A calidad de servicio continuacin, determinar qu en la pgina 843 flujos requieren administracin del trfico. Crear el archivo IPQoS, invocar el clasificador IP y definir una clase para procesar. Aadir los filtros que determinan qu trfico se selecciona y organiza en una clase. Crear ms clases y filtros para que los procese el clasificador IP. Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864 Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867 Cmo crear un archivo de configuracin IPQoS para un servidor Web "Best-Effort" en la pgina 873 Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883 Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 868
3. Crear el archivo de configuracin IPQoS y definir la primera accin. 4. Crear filtros para un clase.
5. Aadir ms clases y filtros al archivo de configuracin IPQoS.
6. Aadir una instruccin action Si la directiva QoS solicita control con parmetros para configurar los de flujo, asigne tasas de control de mdulos de medicin. flujo y niveles de cumplimiento al medidor. 7. Aadir una instruccin action con parmetros para configurar el marcador. 8. Aadir una instruccin action con parmetros para configurar el mdulo de control de flujo. Si la potica QoS solicita comportamientos de reenvo diferenciados, defina cmo deben reenviarse las clases de trfico.
Si la directiva QoS solicita Cmo activar el control para una recopilacin de estadsticas sobre clase en el archivo de configuracin flujos de trfico, defina cmo deben IPQoS en la pgina 871 recopilarse las estadsticas de control. Aadir el contenido de un archivo de configuracin IPQoS especificado a los mdulos de ncleo apropiados. Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890
9. Aplicar el archivo de configuracin IPQoS.
10. Configurar los Si algn archivo de configuracin Cmo configurar un encaminador comportamientos de reenvo en los IPQoS de la red define los en una red con IPQoS archivos de encaminador. comportamientos de reenvo, en la pgina 887 aada los puntos DSCP resultantes a los archivos de planificacin correspondientes del encaminador.
860
Herramientas para crear una directiva QoS
Herramientas para crear una directiva QoS

La directiva QoS de la red est definida en el archivo de configuracin IPQoS. Este archivo de configuracin se crea con un editor de texto. Despus, se proporciona el archivo como un argumento a ipqosconf, la herramienta de configuracin IPQoS. Al solicitar a ipqosconf que aplique la directiva definida en el archivo de configuracin, la directiva se escribe en el ncleo del sistema IPQoS. Si necesita informacin detallada sobre el comando ipqosconf, consule la pgina de comando man ipqosconf(1M). Si necesita instrucciones sobre el uso de ipqosconf, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.
Archivo de configuracin IPQoS bsico

Un archivo de configuracin IPQoS consiste en un rbol de instrucciones de accin que implementan la directiva QoS definida en la seccin Planificacin de la directiva de calidad de servicio en la pgina 843. El archivo de configuracin IPQoS configura los mdulos IPQoS. Cada instruccin de accin contiene un conjunto de clases, filtros o parmetros que procesar el mdulo al que llame la instruccin de accin. Para ver la sintaxis completa del archivo de configuracin IPQoS, consulte el Ejemplo 373 y la pgina de comando man ipqosconf(1M).
Configurar la topologa de ejemplo IPQoS

Las tareas de este captulo explican cmo crear archivos de configuracin IPQoS para tres sistemas con IPQoS. Estos sistemas forman parte de la topologa de red de la empresa BigISP, introducida en la Figura 334.
Goldweb Un servidor Web que aloja sitios web de clientes que tienen acuerdos SLA de nivel alto Userweb Un servidor Web menos potente que aloja pginas personales de usuarios que tienen acuerdos SLA de tipo best-effort BigAPPS Servidor de aplicaciones que ofrece sesrvicios de correo, noticas y FTP a clientes con servicios de nivel alto y "best-effort"
Estos tres archivos de configuracin ilustran las configuraciones IPQoS ms comunes. Puede usar los archivos de muestra de la siguiente seccin como plantilla para su implementacin IPQoS.
Captulo 34 Creacin del archivo de configuracin IPQoS (Tareas)
861
Crear archivos de configuracin IPQoS para servidores web

Esta seccin es una introduccin al archivo de configuracin IPQoS en la que se muestra cmo crear una configuracin para un servidor Web de nivel alto. Tambin se muestra cmo configurar un nivel de servicio diferente mediante otro archivo de configuracin para un servidor que aloja pginas web personales. Ambos servidores forman parte del ejemplo de red que se muestra en la Figura 334. El siguiente archivo de configuracin define actividades IPQoS para el servidor Goldweb. Este servidor aloja el sitio web de Goldco, la compaa que tiene un acuerdo SLA de nivel alto.
EJEMPLO 341
Archivo de configuracin IPQoS de ejemplo para un servidor Web de nivel alto
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name goldweb next_action markAF11 enable_stats FALSE } class { name video next_action markEF enable_stats FALSE } filter { name webout sport 80 direction LOCAL_OUT class goldweb } filter { name videoout sport videosrv direction LOCAL_OUT class video } } action { module dscpmk name markAF11
EJEMPLO 341 Archivo de configuracin IPQoS de ejemplo para un servidor Web de nivel alto (Continuacin)
params { global_stats FALSE dscp_map{0-63:10} next_action continue } } action { module dscpmk name markEF params { global_stats TRUE dscp_map{0-63:46} next_action acct } } action { module flowacct name acct params { enable_stats TRUE timer 10000 timeout 10000 max_limit 2048 } }
El siguiente archivo de configuracin define actividades IPQoS en Userweb. Este servidor aloja sitios web de usuarios con acuerdos SLA de bajo precio o "best-effort". Este nivel de servicio garantiza el mejor servicio que puede ofrecerse a clientes "best-effort" despus de que el sistema IPQoS administre el trfico de clientes con acuerdos SLA de nivel alto.
EJEMPLO 342
Configuracin de muestra para un servidor Web "Best-Effort"
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name Userweb next_action markAF12
Captulo 34 Creacin del archivo de configuracin IPQoS (Tareas) 863
EJEMPLO 342
Configuracin de muestra para un servidor Web "Best-Effort"
(Continuacin)
enable_stats FALSE } filter { name webout sport 80 direction LOCAL_OUT class Userweb } } action { module dscpmk name markAF12 params { global_stats FALSE dscp_map{0-63:12} next_action continue } }
Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico

Puede crear el primer archivo de configuracin IPQoS en el directorio que le resulte ms fcil para su mantenimiento. En las tareas de este captulo se utiliza el directorio /var/ipqos como ubicacin para archivos de configuracin IPQoS. En el siguiente procedimiento se genera el segmento inicial del archivo de configuracin IPQoS introducido en el Ejemplo 341.
Nota Al crear el archivo de configuracin IPQoS, asegrese de comenzar y finalizar cada instruccin de accin y clusula con llaves ({ }). Para ver un ejemplo del uso de llaves, consulte el Ejemplo 341.
Inicie una sesin en el servidor Web de nivel alto y cree un archivo de configuracin IPQoS con extensin .qos. Los archivos de configuracin IPQoS deben comenzar con el nmero de versin fmt_version 1.0 como primera lnea sin comentar.
864
A continuacin del parmetro de abertura, escriba la instruccin de accin, que configura el clasificador IP genrico ipgpc. Esta primera accin inicia el rbol de instrucciones de accin que compone el archivo de configuracin IPQoS. Por ejemplo, el archivo /var/ipqos/Goldweb.qos comienza con la instruccin de accin inicial para llamar al clasificador ipgpc.
fmt_version 1.0 action { module ipgpc name ipgpc.classify
fmt_version 1.0 action { module ipgpc name ipgpc.classify
Inicia el archivo de configuracin IPQoS. Inicia la instruccin de accin. Configura el clasificador ipgpc como la primera accin del archivo de configuracin. Define el nombre de la instruccin de accin de clasificador, que siempre debe ser ipgpc.classify.
Si necesita informacin sintctica detallada sobre instrucciones de accin, consulte la seccin Instruccin action en la pgina 917 y la pgina de comando man ipqosconf(1M).
3
Aada una clusula params con el parmetro de estadsticas global_stats.

params { global_stats TRUE }
El parmetro global_stats TRUE de la instruccin ipgpc.classify activa la recoplicacin de estadsticas para dicha accin. global_stats TRUE tambin activa la recopliacin de estadsticas por clase cuando una definicin de clusula de clase especifica enable_stats TRUE. Activar las estadsticas afecta al rendimiento. Puede ser til recopilar estadsticas en un archivo de configuracin IPQoS nuevo para verificar que IPQoS funciona correctamente. Ms adelante, puede desactivar la recopliacin de estadsticas cambiando el argumento de global_stats a FALSE. Las estadsticas globales son tan solo uno de los parmetros que se pueden definir en la clusula params. Si necesita ms informacin sobre sintaxis y otros datos de las clusulas params, consulte la seccin Clusula params en la pgina 920 y la pgina de comando man ipqosconf(1M).
4
Defina una clusula que identifique el trfico vinculado al servidor de nivel alto.
class { name goldweb next_action markAF11
865
enable_stats FALSE }
Esta instruccin se denomina una clusula class. Una clusula class tiene el siguiente contenido. name goldweb next_action markAF11 Crea la clase goldweb para identificar el trfico vinculado al servidor Goldweb. Incica al mdulo ipgpc que debe pasar los paquetes de la clase goldweb a la instruccin de accin markAF11. La instruccin de accin markAF11 llama al marcador dscpmk. Activa la recopilacin de estadsticas de la clase goldweb. Aunque, debido a que el valor de enable_stats es FALSE, las estadsticas de esta clase no estn activadas.
enable_stats FALSE
Si necesita informacin detallada sobre la sintaxis de la clusula class, consulte la seccin Clusula class en la pgina 919 y la pgina de comando man ipqosconf(1M).
5
Defina una clase que identifique una aplicacin que deba tener reenvo de mxima prioridad.
class { name video next_action markEF enable_stats FALSE }
name video next_action markEF
Crea la clase video para identificar el trfico saliente de video streaming del servidor Goldweb. Indica al mdulo ipgpc que debe pasar los paquetes de la clase video a la instruccin markEF despus de que ipgpc haya terminado el procesamiento. La instruccin markEF llama al marcador dscpmk. Activa la recopliacin de estadsticas de la clase video. Aunque, debido a que el valor de enable_stats es FALSE, la recopilacin de estadsticas para esta clase no se activa.
enable_stats FALSE
Vase tambin
Para definir filtros para la clase creada, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para crear otra clusula para el archivo de configuracin, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
866
Cmo definir filtros en el archivo de configuracin IPQoS

El siguiente procedimiento muestra cmo definir filtros para una clase en el archivo de configuracin IPQoS.
Antes de empezar
En el procedimiento se asume que ya ha comenzado la creacin del archivo y ha definido clases. Los pasos continan con la generacin del archivo /var/ipqos/Goldweb.qos creado en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
Nota Al crear el archivo de configuracin IPQoS, asegrese de comenzar y finalizar cada clsula class y cada filtro con llaves ({ }). Para ver un ejemplo del uso de llaves, consulte el Ejemplo 341.
Abra el archivo de configuracin IPQoS y busque la ltima clase definida. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente clusula class de /var/ipqos/Goldweb.qos:
class { name video next_action markEF enable_stats FALSE }
Defina una clusula filter para seleccionar el trfico saliente del sistema IPQoS.
filter { name webout sport 80 direction LOCAL_OUT class goldweb }
name webout sport 80 direction LOCAL_OUT class goldweb
Asigna el nombre webout al filtro. Selecciona el trfico con origen en el puerto 80, el puerto de trfico HTTP (Web). Selecciona el trfico saliente del sistema local. Identifca la clase a la que pertenece el filtro, en este caso, la clase goldweb.
Si necesita informacin detallada y sintctica sobre la clusula filter del archivo de configuracin IPQoS, consulte la seccin Clusula filter en la pgina 919.
867
Defina una clsula filter para seleccionar el trfico de video streaming del sistema IPQoS.
filter { name videoout sport videosrv direction LOCAL_OUT class video }
name videoout sport videosrv
Asgina el nombre videoout al filtro. Selecciona el trfico con un puerto de origen videosrv, un puerto definido anteriormente para la aplicacin de video streaming en este sistema. Selecciona el trfico saliente del sistema local. Identifica la clase a la que pertenece el filtro, en este caso, la clase video.
direction LOCAL_OUT class video
Vase tambin
Para definir comportamientos de reenvo para los mdulos de marcador, consulte la seccin Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 868. Para definir parmetros de control de flujo para los mdulos de medidor, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para definir filtros adicionales, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878.
Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS

El siguiente procedimiento muestra cmo definir el reenvo de trfico aadiendo comportamientos por salto para una clase en el archivo de configuracin IPQoS.
Antes de empezar
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases y filtros definidos. Los pasos continan con la creacin del archivo /var/ipqos/Goldweb.qos del Ejemplo 341.
868
Nota El procedimiento muestra cmo configurar el reenvo de trfico utilizando el mdulo de marcador dscpmk. Si necesita informacin sobre el reenvo de trfico en sistemas VLAN utilizando el marcador dlclosmk, consulte la seccin Uso del marcador dlcosmk con dispositivos VLAN en la pgina 911. 1
Abra el archivo de configuracin IPQoS y localice el final del ltimo filtro definido. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente clusula filter en /var/ipqos/Goldweb.qos:
filter { name videoout sport videosrv direction LOCAL_OUT class video } }
Observe que esta clusula filter se encuentra al final de la instruccin action del clasificador ipgpc. Por lo tanto, necesita una llave de cierre para finalizar el filtro y otra para finalizar la instruccin action.
2
Invoque al marcador con la siguiente instruccin action.

action { module dscpmk name markAF11
module dscpmk name markAF11
Llama al mdulo de marcador dscpmk. Asigna el nombre markAF11 a la instruccin action .
La clase goldweb definida anteriormente incluye una instruccin next_action markAF11. Esta instruccin enva los flujos de trfico a la instruccin de accin markAF11 cuando el clasificador ha finalizado el procesamiento.
3
Defina accines que debe ejecutar el marcador en el flujo de trfico.

params { global_stats FALSE dscp_map{0-63:10} next_action continue } }
global_stats FALSE
Activa la recopilacin de estadsticas de la instruccin action del marcador markAF11. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas.
869
dscp_map{063:10} next_action continue
Asigna un DSCP de valor 10 a los encabezados de paquetes de la clase de trfico goldweb, que el marcador est procesando en ese momento. Indica que no se necesita ms procesamiento en los paquetes de la clase de trfico goldweb, y que estos paquetes pueden volver al flujo de red.
El DSCP de valor 10 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 10 (binario 001010). Este punto de cdigo indica que los paquetes de la clase de trfico goldweb estn sujetos al comportamiento por salto AF11. AF11 garantiza que todos los paquetes con DSCP de valor 10 reciben un servicio de alta prioridad y baja probabilidad de descarte. Por lo tanto, el trfico saliente para clientes de nivel alto en Goldweb recibe la prioridad ms alta diponilble para el PHB de reenvo asegurado (AF). Para ver una tabla de puntos DSCP para AF, consulte la Tabla 372.
4
Inicie otra instruccin action de marcador.

action { module dscpmk name markEF
module dscpmk name markEF

5
Llama al mdulo de marcador dscpmk. Asigna el nombre markEF a la instruccin action.
Defina acciones que deba ejecutar el marcador en el flujo de trfico.

params { global_stats TRUE dscp_map{0-63:46} next_action acct } }
global_stats TRUE dscp_map{063:46} next_action acct
Activa la recopilacin de estadsticas en la clase video, que selecciona paquetes de video streaming. Asgina un DSCP de valor 46 a los encabezados de paquetes de la clase de trfico video, que el marcador est procesando en ese momento. Indica al mdulo dscpmk que debe pasar los paquetes de la clase video a la instruccin acct action cuando dscpmk haya completado el procesamiento. La instruccin acct action invoca al mdulo flowacct.
El DSCP de valor 46 indica al mdulo dscpmk que debe establecer todas las entradas del mapa dscp en el valor decimal 46 (binario 101110) en el campo DS. Este punto de cdigo indica que los paquetes de la clase de trfico video estn sujetos al comportamiento por salto de reenvo acelerado (EF).
870
Nota El punto de cdigo recmendado para EF es 46 (binario 101110). Otros puntos DSCP
asignan comportamientos PHB AF a un paquete. El PHB EF garantiza que los paquetes con el DSCP de valor 46 reciben la mxima precendencia en sistemas IPQoS y Diffserv. Las aplicaciones streaming requieren el servicio de prioridad ms alta, por eso se les asignan comportamientos PHB EF en la directiva QoS. Si necesita ms informacin sobre PHB de reenvo acelerado, consulte la seccin Reenvo acelerado (EF) PHB en la pgina 910.
6
Aada los puntos DSCP que ha creado a los archivos correspondientes del encaminador Diffserv. Si necesita ms informacin, consulte Cmo configurar un encaminador en una red con IPQoS en la pgina 887.
Vase tambin
Para empezar a recopilar estadsticas de control de flujo sobre el trfico, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para definir comportamientos de reenvo para los mdulos de marcador, consulte la seccin Cmo definir el reenvo de trfico en el archivo de configuracin IPQoS en la pgina 868. Para definir parmetros de control de flujo para los mdulos de medidor, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para definir filtros adicionales, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878.
Cmo activar el control para una clase en el archivo de configuracin IPQoS

El siguiente procedimiento muestra como activar el control de una clase de trfico en el archivo de configracin IPQoS. El procedimiento muestra como definir el control de flujo para la clase video, introducida en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Esta clase selecciona el trfico de video streaming, que debe formar parte de un acuerdo SLA de nivel alto del cliente.
871
Antes de empezar
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases, filtros y acciones de medicin definidas, si correponde, y acciones de marcado, si corresponde. Los pasos continan con la creacin del archivo /var/ipqos/Goldweb.qos del Ejemplo 341. Abra el archivo de configuracin IPQoS y localice el final de la ltima instruccin action definida. Por ejemplo, en el servidor con IPQoS Goldweb, empezara despus de la siguiente instruccin action markEF en /var/ipqos/Goldweb.qos.
action { module dscpmk name markEF params { global_stats TRUE dscp_map{0-63:46} next_action acct } }
Inice una instruccin action que llame al control de flujo.

action { module flowacct name acct
module flowacct name acct

3
Invoca al mdulo de control de flujo flowacct. Asigna el nombre acct a la instruccin action
Defina una clusula params para el control de la clase de trfico.

params { global_stats TRUE timer 10000 timeout 10000 max_limit 2048 next_action continue } }
global_stats TRUE timer 10000
Activa la recopilacin de estadsticas de la clase video, que selecciona paquetes de video streaming. Especifica la duracin del intervalo, en milisengundos, que se utiliza al explorar la tabla de flujos para detectar flujos con tiempo de espera superado. En este parmetro, el intervalo es de 10000 milisegundos. Especifica el valor de tiempo de espera de intervalo mnimo. El tiempo de espera de un flujo se supera cuando los paquetes del
timeout 10000
872
flujo no se envan durante un intervalo de tiempo de espera. En este parmetro, se supera el tiempo de espera de paquetes cuando transcurren 10000 milisegundos. max_limit 2048 next_action continue Determina el nmero mximo de registros de flujos en la tabla de flujos para esta instancia de accin. Indica que no es necesario ms procesamiento en los paquetes de la clase de trfico video y que los paquetes pueden volver al flujo de red.
El mdulo flowacct recopila informacin estadstica sobre los flujos de paquetes de una clase especfica hasta que se supera un tiempo de espera especificado.
Vase tambin
Para configurar comportamientos por salto en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para crear clases para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878.
Cmo crear un archivo de configuracin IPQoS para un servidor Web "Best-Effort"

El archivo de configuracin IPQoS para un servidor Web "best-effort" es ligeramente diferente al de un servidor Web de nivel alto. Como muestra, en el procedimiento se utiliza el archivo de configuracin del Ejemplo 342.
1 2
Inicie una sesin en el servidor Web "best-effort". Cree un archivo de configuracin IPQoS con extensin .qos.
fmt_vesion 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE }
El archivo /var/ipqos/userweb.qos debe comenzar con la intruccin action parcial para invocar al clasificador ipgpc. Adems, la instruccin action tambin tiene una clusula
873
params para activar la recopilacin de estadsticas. Si necesita una explicacin de esta instruccin action, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
3
Defina una clase que identifique el trfico vinculado con el servidor Web "best-effort".
class { name userweb next_action markAF12 enable_stats FALSE }
name userweb next_action markAF1
Crea una clase llamada userweb para reenvar el trfico Web de usuarios. Indica al mdulo ipgpc que debe transferir los paquetes de la clase userweb a la instruccin action markAF12 cuando ipgpc haya completado el procesamiento. La instruccin action markAF12 invoca al marcador dscpmk. Activa la recopilacin de estadsticas para la clase userweb. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas para esta clase.
enable_stats FALSE
Para ver una explicacin de la tarea de la clusula class, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
4
Defina una clusula filter para seleccionar los flujos de trfico de la clase userweb.
filter { name webout sport 80 direction LOCAL_OUT class userweb } }
name webout sport 80 direction LOCAL_OUT class userweb
Asigna el nombre webout al filtro. Selecciona el trfico con origen en el puerto 80, el puerto de trfico HTTP (Web). Selecciona el trfico saliente del sistema local. Identifica la clase a la que pertenece el filtro, en este caso, la clase userweb.
Para ver una explicacin de la tarea de la clusula filter, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867.
874
Inice la instruccin action para invocar al marcador dscpmk.

Invoca al mdulo de marcador dscpmk. Asigna el nombre markAF12 a la instruccin action .
La clase definida previamente userweb incluye una instruccin next_action markAF12. Esta instruccin enva flujos de trfico a la instruccin action markAF12 cuando el clasificador finaliza el procesamiento.
6
Defina parmetros que debe usar el marcador para procesar el flujo de trfico.
params { global_stats FALSE dscp_map{0-63:12} next_action continue } }
global_stats FALSE
Activa la recopilacin de estadsticas para la instruccin action del marcador markAF12. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un valor DSCP de 12 a los encabezados de paquetes de la clase de trfico userweb, que est procesando el marcador en ese momento. Indica que no es necesario ms procesamiento en los paquetes de la clase de trfico userweb, y que los paquetes pueden volver al flujo de red.
dscp_map{063:12} next_action continue
El valor DSCP de 12 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 12 (binario 001100). Este punto de cdigo indica que los paquetes de la clase de trfico userweb estn sujetos al comportamiento por salto AF12. AF12 garantiza que todos los paquetes con el DSCP de valor 12 en el campo DS reciben un servicio de probabilidad de descarte media y prioridad alta.
7 Vase tambin
Cuando haya completado el archivo de configuracin IPQoS, aplique la configuracin.
Para aadir clases y otra configuracin para flujos de trfico de aplicaciones, consulte la seccin Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones en la pgina 878. Para configurar comportamientos por salto en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887.
875
Crear un archivo de configuracin IPQoS para un servidor de aplicaciones
Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.

En esta seccin se explica cmo crear un archivo de configuracin para un servidor de aplicaciones que proporciona aplicaciones bsicas a clientes. En el procedimiento se usa como ejemplo el servidor BigAPPS de la Figura 334. El siguiente archivo de configuracin define actividades IPQoS para el servidor BigAPPS. Este servidor aloja FTP, correo electrnico (SMTP) y noticias de red (NNTP) para clientes.
EJEMPLO 343
Archivo de configuracin IPQoS para un servidor de aplicaciones
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE } class { name smtp enable_stats FALSE next_action markAF13 } class { name news next_action markAF21 } class { name ftp next_action meterftp } filter { name smtpout sport smtp class smtp } filter { name newsout sport nntp
876
EJEMPLO 343
(Continuacin)
class news } filter { name ftpout sport ftp class ftp } filter { name ftpdata sport ftp-data class ftp } } action { module dscpmk name markAF13 params { global_stats FALSE dscp_map{0-63:14} next_action continue } } action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } } action { module tokenmt name meterftp params { committed_rate 50000000 committed_burst 50000000 red_action_name AF31 green_action_name markAF22 global_stats TRUE } } action { module dscpmk name markAF31
877
EJEMPLO 343
(Continuacin)
params { global_stats TRUE dscp_map{0-63:26} next_action continue } } action { module dscpmk name markAF22 params { global_stats TRUE dscp_map{0-63:20} next_action continue } }
Cmo definir el archivo de configuracin IPQoS para un servidor de aplicaciones

Inicie una sesin en el servidor de aplicaciones con IPQoS y cree un archivo IPQoS con extensin .qos. Por ejemplo, /var/ipqos/BigAPPS.qos para el servidor de aplicaciones. Empiece con los siguientes comandos necesarios para iniciar la instruccin action que invoca al clasificador ipgpc:
fmt_version 1.0 action { module ipgpc name ipgpc.classify params { global_stats TRUE }
Si necesita una explicacin de la instruccin action inicial, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
2
Cree clases para seleccionar el trfico de tres aplicaciones en el servidor BigAPPS. Aada las definicioes de clases despus de la instruccin action de apertura.
class { name smtp enable_stats FALSE
878
next_action markAF13 } class { name news next_action markAF21 } class { name ftp enable_stats TRUE next_action meterftp }
name smtp enable_stats FALSE
Crea una clase llamada smtp, que incluye los flujos de trfico de correo electrnico que debe administrar la aplicacin SMTP Activa la recopilacin de estadsticas para la clase smtp. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas para esta clase. Indica al mdulo ipgpc que debe transferir los paquetes de la clase smtp a la instruccin action markAF13 cuando ipgpc haya completado el procesamiento. Crea una clase llamada news, que incluye los flujos de trfico de noticias de red que debe administrar la aplicacin NNTP. Indica al mdulo ipgpc que debe transferir los paquetes de la clase news a la instruccin action markAF21 cuando ipgpc haya completado el procesamiento. Crea una clase llamada ftp, que administra el trfico saliente gstionado por la aplicacin FTP. Activa la recopilacin de estadsticas para la clase ftp. Indica al mdulo ipgpc que debe transferir los paquetes de la clase ftp a la instruccin action meterftp cuando ipgpc haya completado el procesamiento.
next_action markAF13
name news next_action markAF21
name ftp enable_stats TRUE next_action meterftp
Si necesita ms informacin sobre cmo definir clases, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864.
3
Defina clusulas filter para seleccionar el trfico de las clases definidas en el paso 2.
filter { name smtpout sport smtp class smtp } filter {
879
name newsout sport nntp class news } filter { name ftpout sport ftp class ftp } filter { name ftpdata sport ftp-data class ftp } }
name smtpout sport smtp class smtp name newsout sport nntp class news name ftpout sport ftp name ftpdata sport ftp-data class ftp
Asigna el nombre smtpout al filtro. Selecciona el trfico con puerto de origen 25, el puerto para la aplicacin sendmail (SMTP). Identifica la clase a la que pertenece el filtro, en este caso, la clase smtp. Asigna el nombre newsout al filtro. Selecciona el trfico con nombre de puerto origen nntp, el nombre de puerto para la aplicacin de noticias de red (NNTP). Identifica la clase a la que pertenece el filtro, en este caso, la clase news. Asigna el nombre ftpout al filtro. Selecciona los datos de control con un puerto origen 21, el nmero de puerto para trfico FTP. Asigna el nombre ftpdata al filtro. Selecciona el trfico con puerto de origen 20, el nmero de puerto para trfico FTP. Identifica la clase a la que pertenecen los filtros ftpout y ftpdata, en este caso ftp.
Vase tambin
Para definir filtros, consulte la seccin Cmo definir filtros en el archivo de configuracin IPQoS en la pgina 867. Para definir comportamientos de reenvo para el trfico de aplicaciones, consulte la seccin Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS en la pgina 881.
880
Para configurar el control de flujo utilizando los mdulos de medicin, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871.
Cmo configurar el reenvo para el trfico de aplicaciones en el archivo de configuracin IPQoS

En el siguiente procedimiento se muestra cmo configurar el reenvo para el trfico de aplicaciones. En el procedimiento, se definen comportamientos por salto para clases de trfico de aplicaciones que pueden tener precedencia ms baja que otro trfico de la red. Los pasos continan con la creacin del archivo /var/ipqos/BigAPPS.qos del Ejemplo 343.
Antes de empezar 1
En el procedimiento se asume que ya tiene un archivo de configuracin IPQoS con clases y filtros definidos para las aplicaciones que se van a marcar. Abra el archivo de configuracin IPQoS creado para el servidor de aplicaciones y localice el final de la ltima clusula filter. En el archivo /var/ipqos/BigAPPS.qos, el ltimo filtro es el siguiente:
filter { name ftpdata sport ftp-data class ftp } }
Invoque al marcador del siguiente modo:


3
Invoca al mdulo de marcador dscpmk. Asigna el nombre markAF13 a la instruccin action .
Defina el comportamiento por salto que debe marcarse en los flujos de trfico de correo electrnico.
params { global_stats FALSE dscp_map{0-63:14} next_action continue
881
} }
global_stats FALSE
Activa la recopilacin de estadsticas para la instruccin action del marcador markAF13. Aunque, debido a que el valor de enable_stats es FALSE, no se recopilan estadsticas. Asigna un DSCP de valor 14 a los encabezados de paquetes de la clase de trfico smtp, que est procesando el marcador en ese momento. Indica que no se necesita ms procesamiento en los paquetes de la clase de trfico smtp. Estos paquetes pueden volver al flujo de red.
dscp_map{063:14}
next_action continue
El valor DSCP de 14 indica al marcador que debe efinir todas las entradas del mapa dscp en el valor decimal 14 (binario 001110). El DSCP de valor 14 define el comportamiento por salto AF13. El marcador marca paquetes de la clase de trfico smtp con el DSCP de valor 14 en el campo DS. AF13 asigna todos los paquetes con un DSCP de 14 a una precedencia de alta probabilidad de descarte. Aunque, debido a que AF13 tambin garantiza una prioridad de Clase 1, el encaminador sigue garantizando una alta prioridad en cola al trfico de correo electrnico saliente. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
4
Aada una instruccin action de marcador para definir un comportamiento por salto para el trfico de noticias de red:
action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } }
name markAF21 dscp_map{063:18}
Asigna el nombre markAF21 a la instruccin action . Asigna un valor DSCP de 18 a los encabezados de paquetes de la clase de trfico nntp que est procesando el marcador en ese momento.
El valor DSCP de 18 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 18 (binario 010010). El valor DSCP 18 define el comportamiento por salto AF21. El marcador marca los paquetes de la clase de trfico news con el valor DSCP 18 en el campo DS. AF21 garantiza que todos los paquetes con un valor DSCP de 18 reciben una precedencia de baja probabilidad de descarte, pero slo con prioridad Clase 2. Por lo tanto, la posibilidad de que se descarte el trfico de noticias de red es bajo.
882
Vase tambin
Para aadir informacin de configuracin para servidores Web, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Para configurar el control de flujo utilizando los mdulos de medicin, consulte la seccin Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para configurar comportamientos de reenvo en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887. Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.
Cmo configurar el control de flujo en el archivo de configuracin IPQoS

Para controlar la tasa a la que un flujo de trfico especfico se enva en la red, debe definir parmetros para el medidor. Puede usar cualquiera de los dos mdulos de medidor, tokenmt o tswtclmt, en el archivo de configuracin IPQoS. El siguiente procedimiento contina con la creacin del archivo de configuracin IPQoS para el servidor de aplicaciones del Ejemplo 343. En el procedimiento, no slo se configura el medidor, sino tambin las acciones de marcador a las que se llama desde la instruccin action.
Antes de empezar 1
En los pasos se asume que ya ha definido una clase y un filtro para controlar el flujo de la aplicacin. Abra el archivo de configuracin IPQoS que ha creado para el servidor de aplicaciones. En el archivo /var/ipqos/BigAPPS.qos , empiece despus de la siguiente accin de marcador:
action { module dscpmk name markAF21 params { global_stats FALSE dscp_map{0-63:18} next_action continue } }
883
Cree una instruccin action de medidor para controlar el flujo de trfico de la clase ftp.
action { module tokenmt name meterftp
module tokenmt name meterftp

3
Invoca al medidor tokenmt. Asigna el nombre meterftp a la instruccin action .
Aada parmetros para configurar la tasa del medidor.

params { committed_rate 50000000 committed_burst 50000000
committed_rate 50000000 committed_burst 50000000
Asigna una tasa de transmisin de 50.000.000 bps al trfico de la clase ftp. Dedica un tamao de rfaga de 50.000.000 al trfico de la clase ftp.
Para ver una explicacin de los parmetros tokenmt, consulte la seccin Configuracin de tokenmt como medidor de doble tasa en la pgina 907.
4
Aada parmetros para configurar las precedencias de cumplimiento de trfico:

red_action markAF31 green_action_name markAF22 global_stats TRUE } }
red_action_name markAF31
Idinca que si el flujo de trfico de la clase ftp excede la tasa asignada, los paquetes se envan a la instruccin action del marcador markAF31. Indica que si los flujos de trfico de la clase ftp cumplen la tasa asignada, los paquetes se envan a la instruccin action de markAF22. Activa las estadsticas de medicin para la clase ftp.
green_action_name markAF22
global_stats TRUE
Si necesita ms informacin sobre el cumplimiento del trfico, consulte la seccin Mdulo Meter en la pgina 906.
884
Aada uns instruccin action de marcador para asignar un comportamiento por salto a los flujos de trfico de la clase ftp que no cumplan la tasa.
action { module dscpmk name markAF31 params { global_stats TRUE dscp_map{0-63:26} next_action continue } }
module dscpmk name markAF31 global_stats TRUE dscp_map{063:26} next_action continue
Invoca al mdulo de marcador dscpmk. Asigna el nombre markAF31 a la instruccin action. Activa las estadsticas para la clase ftp. Asigna un valor DSCP de 26 a los encabezados de paquetes de la clase de trfico ftp cuando el trfico excede la tasa asignada. Indica que no se requiere ms procesamiento para los paquetes de la clase de trfico ftp. Estos paquetes pueden devolverse al flujo de red.
El valor DSCP de 26 indica al marcador que debe establecer todas las entradas del mapa dscp en el valor decimal 26 (binario 011010). El valor DSCP 26 define el comportamiento por salto AF31. El marcador marca los paquetes de la clase de trfico ftp con el valor DSCP 26 en el campo DS. AF31 garantiza que todos los paquetes con un valor DSCP de 26 reciben una precedencia de baja probabilidad de descarte, pero slo con prioridad Clase 3. Por lo tanto, la posibilidad de que se descarte el trfico FTP que no cumple la tasa es baja. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
6
Aada una instruccin action de marcador para asignar un comportamiento por salto a los flujos de trfico ftp que cumplen la tasa asignada.
action { module dscpmk name markAF22 params { global_stats TRUE dscp_map{0-63:20} next_action continue } }
name markAF22
Asigna el nombre markAF22 a la accin marker.
885
Proporcionar servicios diferenciados en un encaminador
dscp_map{063:20}
Asigna un valor DSCP de 20 a los encabezados de paquetes de la clase de trfico ftp cuando el trfico ftp cumple la tasa configurada.
El valor DSCP de 20 indica al marcador que debe definir todas las entradas del mapa dscp en el valor decimal 20 (binario 010100). El valor DSCP de 20 define el comportamiento por salto AF22. El marcador marca los paquetes de la clase de trfico ftp con el valor DSCP de 20 en el campo DS. AF22 garantiza que todos los paquetes con un valor DSCP de 20 reciben una precedencia de probabilidad de descarte media con prioridad de Clase 2. Por lo tanto, el trfico FTP que cumple la tasa tiene garantizada una precedencia con probabilidad de descarte media entre los flujos envados simultneamente por el sistema IPQoS. Aunque el encaminador asigna una prioridad de reenvo ms alta a las clases de trfico con una marca de precedencia de probabilidad de descarte media de Clase 1 o superior. Para ver una tabla de cdigos para AF, consulte la Tabla 372.
7
Aada los puntos DSCP que ha creado para el servidor de aplicaciones a los archivos correspondientes del encaminador Diffserv.
Vase tambin
Para activar el archivo de configuracin IPQoS, consulte la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Para aadir informacin de configuracin para servidores Web, consulte la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Para configurar la recopilacin de datos sobre el flujo, consulte la seccin Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para configurar comportamientos de reenvo en un encaminador, consulte la seccin Cmo configurar un encaminador en una red con IPQoS en la pgina 887.

Para proporcionar servicios diferenciados reales, debe incluir un encaminador con Diffserv en la red, como se describe en Estrategias de hardware para la red Diffserv en la pgina 840. Los pasos necesarios para configurar Diffserv en un encaminador y actualizar los archivos del encaminador no se explican en esta gua. En esta seccin se detallan los pasos generales para coordinar la informacin de reenvo entre varios sistemas con IPQoS en la red y el encaminador Diffserv.
886
Cmo configurar un encaminador en una red con IPQoS

En el siguiente procedimiento se utiliza como ejemplo la topologa de la Figura 334. En el siguiente procedimiento se asume que ya ha configurado los sistemas IPQoS de la red realizando las tareas anteriores de este captulo. Revise los archivos de configuracin de todos los sistemas con IPQoS de la red. Identifique cada punto de cdigo utilizado en las directivas QoS. Haga una lista de los puntos de cdigo, y los sistemas y clases a los que se aplican. La siguiente tabla ilustra reas en las que puede haberse usado el mismo punto de cdigo. Esta prctica es aceptable. Aunque debe especificar otros criterios en el archivo de configuracin IPQoS, como un selector de precedencia, para determinar la precedencia de las clases con marcas idnticas. Por ejemplo, en la red de muestra que se utiliza en los procedimientos de este captulo, puede generar la siguiente tabla de puntos de cdigo.
Sistema Clase PHB Punto de cdigo DS
Antes de empezar 1 2
Goldweb Goldweb Userweb BigAPPS BigAPPS BigAPPS BigAPPS
video goldweb webout smtp news ftp conformant traffic ftp nonconformant traffic
EF AF11 AF12 AF13 AF18 AF22 AF31
46 (101110) 10 (001010) 12 (001100) 14 (001110) 18 (010010) 20 (010100) 26 (011010)
Aada los puntos de cdigo de los archivos de configuracin IPQoS de la red a los archivos correspondientes del encaminador Diffserv. Los puntos de cdigo proporcionados deben facilitar la configuracin del mecanismo de planificacin Diffserv del encaminador. Consulte la documentacin y el sisito Web del fabricante del encaminador si necesita instrucciones.
887
888
C A P T U L O
Inicio y mantenimiento de IPQoS (Tareas)
35
3 5
Este captulo contiene tareas para activar un archivo de configuracin IPQoS y para el registro de eventos relacionados con IPQoS. Contiene los temas siguientes:

Administracin IPQoS (Mapa de tareas) en la pgina 889 Aplicacin de una configuracin IPQoS en la pgina 890 Activacin del registro syslog para mensajes IPQoS en la pgina 891 Resolucin de problemas con mensajes de error IPQoS en la pgina 892
Administracin IPQoS (Mapa de tareas)

Esta seccin contiene el conjunto de tareas para iniciar y mantener el servicio IPQoS en un sistema Solaris. Antes de utilizar las tareas, debe tener un archivo de configuracin IPQoS completado, como se describe en Definicin de una directiva QoS en el archivo de configuracin IPQoS (Mapa de tarea) en la pgina 859.
1. Configure IPQoS en un sistema. 2. Haga que los comandos de inicio de Solaris apliquen el archivo de configuracin IPQoS depurado cada vez que se inicie el sistema. 3. Active el regirstro syslog para IPQoS. 4. Solucione cualquier problema IPQoS que surja.
Utilice el comando ipqosconf para activar el archivo de configuracin IPQoS en un sistema. Asegrese de que la configuracin IPQoS se aplica cada vez que se reinicia el sistema.
Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890 Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia en la pgina 891.
Aada una entrada para activar el registro syslog de mensajes IPQoS. Solucione los problemas IPQoS utilizando mensajes de error.
Cmo activar el registro de mensajes IPQoS durante el inicio en la pgina 891. Consulte los mensajes de error de la Tabla 351.
889
Aplicacin de una configuracin IPQoS
Aplicacin de una configuracin IPQoS

La configuracin IPQoS se activa y manipula con el comando ipqosconf.
Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS

Se utiliza el comando ipqosconf para leer el archivo de configuracin IPQoS y para configurar los mdulos IPQoS del kernel UNIX. En el siguiente procedimiento se utiliza como ejemplo el archivo /var/ipqos/Goldweb.qos, creado en la seccin Crear archivos de configuracin IPQoS para servidores web en la pgina 862. Si necesita informacin detallada, conulte la pgina de comando man ipqosconf(1M).
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Aplique la nueva configuracin.
# /usr/sbin/ipqosconf -a/var/ipqos/Goldweb.qos
ipqosconf escribe la informacin en el archivo de configuracin IPQoS especificado de los mdulos IPQoS del kernel de Solaris. En este ejemplo, el contenido de /var/ipqos/Goldweb.qos se aplica al kernel Solaris actual.
Nota Cuando se aplica un archivo de configuracin IPQoS con la opcin -a, las acciones del archivo slo se activan para la sesin actual. 3
Compruebe y depure la nueva configuracin IPQoS. Utilice las herramientas de UNIX para supervisar el comportamiento IPQoS y recopilar estadsticas sobre la implementacin IPQoS. Esta informacin permite determinar si la configuracin funciona como se esperaba.
Vase tambin
Para ver estadsticas sobre cmo funcionan los mdulos IPQoS, consulte la seccin Recopilacin de estadsticas en la pgina 900. Para registrar los mensajes ipqosconf, consulte la seccin Activacin del registro syslog para mensajes IPQoS en la pgina 891. Para asegurarse de que la configuracin IPQoS actual se aplica en cada inicio, consulte la seccin Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia en la pgina 891.
890
Activacin del registro syslog para mensajes IPQoS
Cmo garantizar que la configuracin IPQoS se aplica cada vez que se reinicia
Debe hacer que la configuracin IPQoS sea persistente en cada reinicio. En caso contrario, la configuracin actual slo se aplica hasta que el sistema se reinicia. Cuando la configuracin IPQoS funcione correctamente en un sistema, haga lo siguiente para que la configuracin sea persistente cada vez que se reinicia.
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Compruebe que existe una configuracin IPQoS en los mdulos de kernel.
# ipqosconf -l
Si existe una configuracin, ipqosconf la muestra en pantalla. Si no recibe ninguna respuesta, aplique la configuracin, como se explica en la seccin Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890.
3
Asegrese de que la configuracin IPQoS se aplica cada vez que el sistema IPQoS se reinicia.
# /usr/sbin/ipqosconf -c
La opcin -c hace que la configuracin IPQoS actual est presente en el archivo de configuracin de inicio /etc/inet/ipqosinit.conf .
Activacin del registro syslog para mensajes IPQoS

Para registrar mensajes de inicio IPQoS, es necesario modificar el archivo /etc/syslog.conf como se explica en el siguiente procedimiento.
Cmo activar el registro de mensajes IPQoS durante el inicio

Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.
Abra el archivo /etc/syslog.conf.

Captulo 35 Inicio y mantenimiento de IPQoS (Tareas) 891
Resolucin de problemas con mensajes de error IPQoS
Aada el siguiente texto como ltima entrada en el archivo.

user.info /var/adm/messages
Utilice tabuladores en lugar de espacios entre las columnas. La entrada registra todos los mensajes de inicio generados por IPQoS en el archivo /var/adm/messages .
4
Reinicie el sistema para aplicar los mensajes.
Ejemplo 351
Salida IPQoS de /var/adm/messages

Al revisar /var/adm/messages despus de reiniciar el sistema, la salida puede contener mensajes de registro IPQoS similares a los siguientes.
May 14 10:44:33 ipqos-14 ipqosconf: New configuration applied. May 14 10:44:46 ipqos-14 ipqosconf: Current configuration saved to init May 14 10:44:55 ipqos-14 ipqosconf: Configuration flushed. [ID 815575 user.info] [ID 469457 user.info] file. [ID 435810 user.info]
Tambin puede encontrar mensajes de error IPQoS similares a los siguientes en el archivo /var/adm/messages del sistema con IPQoS.
May 14 10:56:47 ipqos-14 ipqosconf: [ID 123217 user.error] Missing/Invalid config file fmt_version. May 14 10:58:19 ipqos-14 ipqosconf: [ID 671991 user.error] No ipgpc action defined.
Para ver una descripcin de estos mensajes de error, consulte la Tabla 351.

Esta seccin contiene una tabla de mensajes de error generados por IPQoS y su posible solucin.
TABLA 351
Mensajes de error IPQoS

Descripcin Solucin
Mensaje de error
Undefined action in parameter nombre de parmetro action nombre de accin
En el archivo de configuracin IPQoS, el nombre de accin especificado en nombre de parmetro no existe en el archivo de configuracin.
Cree la accin. O haga referencia a otra accin en el parmetro.
892
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
action nombre de accin involved in cycle
En el archivo de configuracin IPQoS, nombre de accin forma parte de un ciclo de acciones, lo que no estr pemitido por IPQoS.
Determine el ciclo de acciones. A continuacin, elimine una de las referencias cclicas del archivo de configuracin IPQoS.
Action nombre de accin isnt referenced by any other actions
Una definicin de accin no ipgpc no es Elimine la accin no referenciada. Tambin puede referenciada por ninguna otra accin hacer que otra accin haga referencia a la accin no definida en la configuracin IPQoS, lo que referenciada. no est permitido por IPQoS. El formato del archivo de configuracin Aada la versin de formato, como se explica en Cmo crear el archivo de configuracin IPQoS y no est especificado como primera entrada del archivo como requiere IPQoS. definir las clases de trfico en la pgina 864. La versin de formato especificada en el Cambie la versin de formato por fmt_version 1.0, archivo de configuracin no es compatilbe esto es necesario para ejecutar la versin Solaris 9 9/02 con IPQoS. de IPQoS y versiones posteriores. No ha definido una accin para el clasificador ipgpc en el archivo de configuracin, como requiere IPQoS. Cuando ejecut ipqosconf -c para confirmar una configuradcin, dicha configuracin estaba vaca, lo que no est permitido por IPQoS. En el archivo de configuracion, ha utilizado una mscara CIDR como parte de la direccin IP que est fuera del intervalo de direcciones IP vlidas. En el archivo de configuracin, ha definido una mscara CIDR para un nombre de host, lo que no est permtido en IPQoS. En el archivo de configuracin, el nombre de mdulo que ha especificado en una instruccin de accin no es vlido. Defina una accin para ipgpc, como se muestra en la seccin Cmo crear el archivo de configuracin IPQoS y definir las clases de trfico en la pgina 864. Asegrese de aplicar un archivo de configuracin antes de intentar confirmar una configuracin. Si necesita instrucciones, consulte Cmo aplicar una nueva configuracin a los mdulos de kernel IPQoS en la pgina 890. Cambie el valor de mscara por uno que se encuentre entre 132 para IPv4 y 1128 para IPv6.
Missing/Invalid config file fmt_version
Unsupported config file format version
No ipgpc action defined.
Cant commit a null configuration
Invalid CIDR mask on line nmero de lnea
Address masks arent allowed for host names line nmero de lnea Invalid module name line nmero de lnea ipgpc action has incorrect name line nmero de lnea
Elimine la mscara o cambie el nombre de host por una direccin IP.
Compruebe que el nombre de mdulo est bien escrito. Para ver una lista de mdulos IPQoS, consulte la Tabla 375.
El nombre asignado a la accin ipgpc en el Cambie el nombre de la accin ipgpc.classify. archivo de configuracin no es el nombre ipgpc.classify requerido.
Captulo 35 Inicio y mantenimiento de IPQoS (Tareas)
893
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Second parameter clause not supported line nmero de lnea Duplicate named action
En el archivo de configuracin, ha especificado dos clusulas de parmetro para una nica accin, lo que no est permitido por IPQoS.
Combine todos los parmetros de la accin en una nica clusula de parmetro.
En el archivo de configuracin, ha Cambie el nombre de una de las acciones o elimnela. asignado el mismo nombre a dos acciones. Ha asignado el mismo nombre a dos filtros o dos clases en la misma accin, lo que no se permite en el archivo de configuracin IPQoS. En el archivo de configuracin, el filtro hace referencia a una clase no definida en la accin. La clase hace referencia a una accin no definida en el archivo de configuracin. En el archivo de configuracin, uno de los parmetros no es vlido. Cambie el nombre de uno de los filtros o clases, o elimnelo.
Duplicate named filter/class in action nombre de accin Undefined class in filter nombre de filtro in action nombre de accin Undefined action in class nombre de clase action nombre de accin Invalid parameters for action nombre de accin
Cree la clase, o cambie la referencia del filtro a una clase existente. Cree la accin, o cambie la referencia a una accin existente. Para ver el mdulo al que llama la accin especificada, consulte la entrada de mdulo de la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Para ver el mdulo al que llama la accin especificada, consulte la entrada de mdulo de la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Revise el archivo de configuracin y elimine las clases innecesarias. Tambin puede aumentar el nmero mximo de clases aadiendo al archivo /etc/system la entrada ipgpc_max_classesnmero de clases. Revise el archivo de configuracin y elimine los filtros innecesarios. Tambin puede aumentar el nmero mximo de filtros aadiendo al archivo /etc/system la entrada ipgpc_max_filtersnmero de filtros. Consulte la pgina de comando man ipqosconf(1M) para ve runa lista de parmetros vlidos.
Mandatory parameter missing for action nombre de accin
No ha definido un parmetro requerido para una accin en el archivo de configuracin.
Max number of classes reached in ipgpc
Ha especificado ms clases de las permitidas en la accin ipgpc del archivo de configuracin IPQoS. El nmero mximo es 10007. Ha especificado ms filtros de los permitidos en la accin ipgpc del archivo de configuracin IPQoS. El nmero mximo es 10007. En el archivo de configuracin, el filtro nombre de filtro tiene parmetros no vlidos o no especificados.
Max number of filters reached in action ipgpc
Invalid/missing parameters for filter nombre de filtro in action ipgpc
894
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Name not allowed to start Inicia una accin, un filtro o un nombre with !, line nmero de lnea de clase con un signo de exclamacin (!), lo cual no est permitido en el archivo IPQoS. Name exceeds the maximum name length line nmero de lnea Array declaration line nmero de lnea is invalid Ha definido un nombre de una accin, clase o filtro en el archivo de configuracin que excede la longitud mxima de 23 caracteres. En el archivo de configuracin, la declaracin de matriz del parmetro de la lnea nmero de lnea no es vlido.
Elimine el signo de exclamacin o cambie el nombre completo de la accin, clase o filtro.
Asigne un nombre ms corto a la accin, clase o filtro.
Para ver la sintaxis correcta de la declaracin de matriz a la que llama la instruccin de accin con la matriz no vlida, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Asegrese de que la cadena citada empieza y termina en la misma lnea en el archivo de configuracin. Para ver los valores aceptables para el mdulo al que llama la instruccin de accin, consulte la descripcin del mdulo en la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Compruebe que el valor de anumeracin es correcto para el parmetro. Para ver una descripcin del mdulo al que llama la instruccin de accin con el nmero de lnea no reconocido, consulte la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf (1M). Para ver la sintaxis correcta del mdulo al que llama la instruccin de accin con la lista de valores mal formada, consulte la descripcin del mdulo en la seccin Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Tambin puede consultar la pgina de comando man ipqosconf(1M). Elimine uno de los parmetros duplicados.
Quoted string exceeds line, nmero de lnea Invalid value, line nmero de lnea
La cadena no tiene las comillas de cierre en la misma lnea, lo que es obligatorio en el archivo de configuracin. El valor definido en la lnea nmero de lnea del archivo de configuracin no es compatible con el parmetro.
Unrecognized value, line nmero de lnea
El valor de nmero de lnea del archivo de configuracin no es un valor de enumeracin admitido para este parmetro.
Malformed value list line nmero de lnea
La enumeracin especificada en nmero de lnea del archivo de configuracin no cumple la sintaxis de especificacin.
Duplicate parameter line nmero de lnea
Se ha especificado un parmetro duplicado en nmero de lnea, lo que no est permitido en el archivo de configuracin.
Captulo 35 Inicio y mantenimiento de IPQoS (Tareas)
895
TABLA 351
(Continuacin)
Solucin
Mensaje de error
Descripcin
Invalid action name line nmero de lnea
Ha asignado a la accin de nmero de Cambie el nombre de la accin de modo que no utilice lnea del archivo de configuracin un un nombre predefinido. nombre que utiliza el nombre predefinido continue o drop". ipqosconf no ha podido determinar la direccin de origen o destino definida para el filtro en el archivo de configuracin. Por lo tanto, se omite el filtro. Si el filtro es importante, intente aplicar la configuracin ms adelante.
Failed to resolve src/dst host name for filter at line nmero de lnea, ignoring filter
Incompatible address version line nmero de lnea
La versin IP de la direccin de nmero de Cambie las dos entradas en conflicto para que sean lnea es incompatible con la versin de compatibles. una direccin IP especificada previamente o parmetro ip_version. Ha intentado cambiar el mdulo de una accin que ya existe en la configuracin IPQoS del sistema, lo que no est permitido. Vace la configuracin actual antes de aplicar la nueva configuracin.
Action at line nmero de lnea has the same name as currently installed action, but is for a different module
896
C A P T U L O
Uso de control de flujo y recopilacin de estadsticas (Tareas)
36
3 6
En este captulo se explica como obtener datos de control y estadsticas sobre el trfico administrador por un sistema IPQoS. Se explican los siguientes temas:

Establecimiento del control de flujo (Mapa de tareas) en la pgina 897 Registro de informacin sobre flujos de trfico en la pgina 897 Recopilacin de estadsticas en la pgina 900
Establecimiento del control de flujo (Mapa de tareas)

En el siguiente mapa de tareas se enumeran las tareas genricas para obtener informacin sobre flujos de trfico utilizando el mdulo flowacct .
1. Cree un archivo para guardar la informacin de control de flujos de trfico. 2. Defina los parmetros flowacct en el archivo de configuracin IPQoS.
Utilice el comando acctadm para crear un Cmo crear un archivo para datos de control de flujo archivo en el que se almacenarn los en la pgina 898 resultados del procsamiento de flowacct. Defina valores para los parmetros timer, Cmo activar el control para una clase en el archivo de timeout y max_limit. configuracin IPQoS en la pgina 871
Registro de informacin sobre flujos de trfico

Se utiliza el mdulo IPQoS flowacct para recopilar informacin sobre flujos de trfico. Por ejemplo, puede recopilar direcciones de origen y destino, nmero de paquetes de un flujo y datos similares. El proceso de recopilar y registrar informacin sobre flujos se denomina control de flujo. Los resultados del control de flujo de trfico de una clase determinada se guardan en una tabla de registros de flujo. Cada registro de flujo contiene una serie de atributos. Estos atributos
897
contienen datos sobre flujos de trfico de una clase deteminada en un intervalo de tiempo. Para ver una lista de los atributos de flowacct, consulte la Tabla 374. El control de flujo es especialmente til para facturar a los clientes como est definido en su acuerdo de nivel de servicio. Tambin puede utilizar el control de flujo para obtener estadsitcas de aplicaciones importantes. Esta seccin contiene tareas para utilizar flowacct con la herramienta de control ampliado de Solaris para obtener datos sobre flujos de trfico. La siguiente informacin se encuentra en otras fuentes, no en este captulo:
Si necesita instrucciones para crear una instruccin de accin para flowacct en el archivo de configuracin IPQoS, consulte Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883. Para aprender cmo funciona flowacct, consulte Mdulo Classifier en la pgina 903. Si necesita informacin tcnica, consulte la pgina de comando man flowacct(7ipp).
Cmo crear un archivo para datos de control de flujo

Antes de aadir una accin flowacct al archivo de configuracin IPQoS, debe crear un archivo para los registros de flujo desde el mdulo flowacct. Para esto se utiliza el comando acctadm. acctadm puede registrar atributos bsicos o extendidos en el archivo. Todos los atributos flowacct estn enumerados en la Tabla 374. Si necesita informacin detallada sobre acctadm, consulte la pgina de comando man acctadm(1M).
Asuma la funcin de administrador principal o hgase superusuario en el sistema con IPQoS. La funcin de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Captulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration. Cree un archivo de control de flujo bsico. En el siguiente ejemplo se muestra cmo crear un archivo de control de flujo bsico para el servidor web configurado en el Ejemplo 341.
# /usr/sbin/acctadm -e basic -f /var/ipqos/goldweb/account.info flow
acctadm -e basic /var/ipqos/goldweb/account.info flow

898
Invoca a acctadm con la opcn -e. La opcin -e activa los argumentos que hay a continuacin. Determina que slo los datos de los ocho atributos bsicos flowacct se registran en el archivo. Especifica el nombre de ruta completo del archivo que contendr los registros de flujo de flowacct. Indica a acctadm que debe activar el control de flujo.
Para ver la informacin de control de flujo del sistema IPQoS, escriba acctadm sin argumentos. acctadm genera la siguiente salida:
Task accounting: inactive Task accounting file: Tracked task resources: Untracked task resources: Process accounting: Process accounting file: Tracked process resources: Untracked process resources: Flow accounting: Flow accounting file: Tracked flow resources: Untracked flow resources: none none extended inactive none none extended,host,mstate active /var/ipqos/goldweb/account.info basic dsfield,ctime,lseen,projid,uid
Todas las entradas menos las cuatro ltimas son para su uso con la funcin Solaris Resource Manager. En la siguiente tabla se explican las entras especficas de IPQoS.
Entrada Descripcin
Flow accounting: active Flow accounting file: /var/ipqos/goldweb/account.info Tracked flow resources: basic
Indica que el control de flujo est activado. Da el nombre del archivo de control de flujo actual. Indica que slo se supervisan los atributos de flujo bsicos. Enumera los atributos flowacct que no se supervisan en el archivo.
Untracked flow resources: dsfield,ctime,lseen,projid,uid
(Optativo) Aadir los atributos ampliados al archivo de control.

# acctadm -e extended -f /var/ipqos/goldweb/account.info flow
(Optativo) Volver a registrar slo los atributos bsicos en el archivo de control.

# acctadm -d extended -e basic -f /var/ipqos/goldweb/account.info
La opcin -d desactiva el control ampliado.

6
Ver el contenido de un archivo de control de flujo. En Interfaz Perl para libexacct de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris encontrar instrucciones para ver el contenido de un archivo de control de flujo.
Captulo 36 Uso de control de flujo y recopilacin de estadsticas (Tareas)
899
Recopilacin de estadsticas
Vase tambin
Para ver informacin detallada sobre la funcin de control ampliado, consulte el Captulo 4, Cuentas extendidas (descripcin general) de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris. Para definir parmetros flowacct en el archivo de configuracin IPQoS, consulte Cmo activar el control para una clase en el archivo de configuracin IPQoS en la pgina 871. Para imprimir los datos del archivo creado con acctadm , consulte Interfaz Perl para libexacct de Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris.
Puede utilizar el comando kstat para generar estadsticas de los mdulos IPQoS. Use la sintaxis siguiente:
/bin/kstat -m ipqos-module-name
Puede especificar cualquier nombre de mdulo IPQoS vlido, como se muestra en la Tabla 375. Por ejemplo, para ver estadsticas generadas por el marcador dscpmk, utilice el siguiente comando de kstat:
/bin/kstat -m dscpmk
Si necesita informacin tcnica, consulte la pgina de comando man kstat(1M).

EJEMPLO 361
Estadsticas kstat de IPQoS
A continuacin se muestra un ejemplo del posible resultado al ejecutar kstat para obtener estadsticas sobre el mdulo flowacct.
# kstat -m flowacct module: flowacct name: Flowacct statistics bytes_in_tbl crtime epackets flows_in_tbl nbytes npackets snaptime usedmem
instance: 3 class: flacct 84 345728.504106363 0 1 84 1 345774.031843301 256
class: flacct bytes_in_tbl
Da el nombre de la clase a la que pertenecen los flujos de trfico, en este caso flacct. Nmero total de bytes en la tabla de flujo. El nmero total de bytes es la suma en bytes de todos los registros de flujo actuales de la tabla de flujo. La
900
EJEMPLO 361
Estadsticas kstat de IPQoS
(Continuacin)
cantidad total de bytes de esta tabla de flujo es de 84. Si no hay ningn flujo en la tabla, el valor de bytes_in_tbl es 0. crtime epackets flows_in_tbl nbytes La ltima vez que se cre est salida de kstat. Nmero de paquetes que resultaron en un error durante el procesamiento, en este ejemplo 0. Nmero de registros de flujo que hay en la tabla de flujos, en este ejemplo es 1. Si no hay ningn registro en la tabla, el valor de flows_in_tbl es 0. Nmero total de bytes observados por esta instancia de accin flowacct, en este ejemplo 84. El valor incluye bytes que se encuentran actualmente en la tabla de flujo. El valor tambin incluye bytes obsoletos que ya no se encuentran en la tabla de flujo. Nmero total de paquetes observados por esta instancia de accin flowacct, en este ejemplo 1. npackets incluye paquetes que se encuentran actualmente en la tabla de flujo. npackets tambin incluye paquetes obsoletos que ya no se encuentran en la tabla de flujo. Memoria en bytes en uso por la tabla de flujo mantenida por esta instancia flowacct. En el ejemplo, el valor usedmem es 256. El valor de usedmem es 0 cuando la tabla de flujo no contiene ningn registro de flujo.
npackets
usedmem
Captulo 36 Uso de control de flujo y recopilacin de estadsticas (Tareas)
901
902
C A P T U L O
IPQoS detallado (Referencia)
37
3 7
Este captulo contiene material de referencia con informacin detallada sobre los siguientes temas de IPQoS:

Arquitectura IPQoS y el modelo Diffserv en la pgina 903 Archivo de configuracin IPQoS en la pgina 916 Herramienta de configuracin ipqosconf en la pgina 920
Para obtener una descripcin general, consulte el Captulo 32, Introduccin a IPQoS (Descripcin general). Si necesita informacin sobre la planificacin, consulte el Captulo 33, Planificacin para una red con IPQoS (Tareas). Para ver los procedimientos para configurar IPQoS, consulte el Captulo 34, Creacin del archivo de configuracin IPQoS (Tareas).
Arquitectura IPQoS y el modelo Diffserv

En esta seccin se describe la arquitectura IPQoS y cmo IPQoS implementa el modelo de servicios diferenciados (Diffserv) definido en RFC 2475, An Architecture for Differentiated Services (http://www.ietf.org/rfc/rfc2475.txt?number=2475). Los siguientes elementos del modelo Diffserv estn incluidos en IPQoS:

Clasificador Medidor Marcador
Adems, IPQoS incluye el mdulo de control de flujo y el marcador dlcosmk para su uso en dispositivos VLAN (red de rea local virtual).
Mdulo Classifier
En el modelo Diffserv, el mdulo classifier se encarga de organizar los flujos de trfico seleccionados en grupos a los que se aplican diferentes niveles de servicio. Los clasificadores definidos en RFC 2475 se disearon originalmente para encaminadores de lmite de sistema. En
903
cambio, el clasificador IPQoS ipgpc est diseado para administrar flujos de trfico en hosts internos de la red local. Por lo tanto, una red con sistemas IPQoS y un encaminador Diffserv puede proporcionar un alto nivel de servicios diferenciados. Para ver una descripcin tcnica de ipgpc, consulte la pgina de comando man ipgpc(7ipp). El clasificador ipgpc se encarga de lo siguiente: 1. Selecciona los flujos de trfico que cumplen los criterios especificados en el archivo de configuracin IPQoS en el sistema con IPQoS La directiva QoS define varios criterios que deben estar presentes en los encabezados de paquetes. Estos criterios se denominan selectores. El clasificador ipgpc compara estos selectores con los encabezados de paquetes que recibe el sistema IPQoS. Despus, ipgpc selecciona todos los paquetes que coinciden. 2. Separa los flujos de paquetes en clases, trfico de red con las mismas caractersticas, como se ha definido en el archivo de configurain IPQoS 3. Examina el valor del campo de servicios diferenciados (DS) del paquete para comprobar si contiene un punto de cdigo de servicios diferenciados (DSCP) La presencia de un punto de cdigo DSCP indica si el trfico entrante ha sido marcado en su origen con un comportamiento de reenvo. 4. Determina qu otras acciones estn especificadas en la configuracin IPQoS para paquetes de una clase especfica 5. Transfiere los paquets al siguiente mdulo IPQoS especificado en el archivo de configuracin IPQoS, o los devuelve al flujo de red Para ver una descripcin general del clasificador, consulte Descripcin general del clasificador (ipgpc) en la pgina 829. Si necesita informacin sobre cmo invocar al clasificador en el archivo de configuracin IPQoS, consulte Archivo de configuracin IPQoS en la pgina 916.
Selectores IPQoS
El clasificador ipgpc admite varios selectores que se pueden usar en la clusula filter del archivo de configuracin IPQoS. Al usar un filtro, utilice siempre el nmero mnimo de selectores necesarios para extraer el trfico de una clase determinada. El nmero de filtros definidos repercute en el rendiemiento de IPQoS. En la siguiente tabla se muestran los selectores disponibles para ipgpc .
TABLA 371 Selector
Selectores de filtro para el clasificador IPQoS

Argumento Informacin seleccionada
saddr daddr
Nmero de direccin IP. Nmero de direccin IP.
Direccin de origen. Direccin de destino.
904
TABLA 371 Selector
Selectores de filtro para el clasificador IPQoS

Argumento
(Continuacin)
Informacin seleccionada
sport
Un nmero de puerto o nombre de servicio, definido en /etc/services . Un nmero de puerto o nombre de servicio, definido en /etc/services . Un nmero o nombre de protocolo, definido en /etc/protocols. Punto de cdigo DS (DSCP) con un valor de 063.
Puerto de origen del que proviene una clase de trfico. Puerto de destino de una clase de trfico. Protocolo que usar esta clase de trfico. DSCP que define cualquier comportamiento de reenvo que deb aplicarse al paquete. Si se especifica este parmetro, el parmetro dsfield_mask tambin debe especificarse. Se utiliza en combinacin con el selector dsfield. dsfield_mask se aplica al selector dsfield para determinar qu bit se utiliza para la comparacin. Interfaz que se utiliza para el trfico entrante o saliente de una clase determinada. ID de usuario que se suministra a una aplicacin.
dport
protocol
dsfield
dsfield_mask
Mscara de bit con un valor de 0255.
if_name
Nombre de interfaz. Nmero del ID de usuario o nombre de usuario de UNIX que se seleccionar. Si no hay ningn ID de usuario ni nombre de usuario en el paquete, se utilizar la opcin predeterminada, 1. Nmero de ID de proyecto que se seleccionar. Nmero de prioridad. La prioridad ms baja es 0. El argumento puede ser uno de los siguientes: LOCAL_IN LOCAL_OUT FWD_IN FWD_OUT
user
projid
ID de proyecto que se suministra a una aplicacin. Prioridad que se asigna a paquetes de esta clase. La prioridad se utiliza para ordenar la importancia de filtros de la misma clase. Direccin del flujo de paquete en el equipo IPQoS. Trfico de entrada local del sistema IPQoS. Trfico de salida local del sistema IPQoS. Trfico de entrada que se debe reenviar. Trfico de salida que se debe reenviar.
priority
direction
precedence
Valor de precedencia. La precedencia ms alta es La precedencia se utiliza para ordenar filtros 0. con la misma prioridad. V4 o V6 Esquema de direcciones utilizado por los paquetes, IPv4 o IPv6.
ip_version
Captulo 37 IPQoS detallado (Referencia)
905
Mdulo Meter
El medidor controla la tasa de transmisin de flujos por paquete. Despus, determina si el paquete cumple los parmetros configurados. El mdulo medidor (Meter) determina la siguietne accin para un paquete de un conjunto de acciones, que dependen del tamao del paquete, los parmetros configurados y la tasa de flujo. Meter consta de dos mdulos de medicin, tokenmt y tswtclmt, que se configuran en el archivo de configuracn IPQoS. Puede configurar uno de los mdulos, o ambos, para una clase. Al configurar un mdulo de medicin, puede definir dos parmetros de tasa:
committed-rate Define la tasa de transmisin aceptable, en bits por segundo, para paquetes de una clase determinada peak-rate Define la tasa de transmisin mxima, en bits por segundo, que se permite para paquetes de una clase determinada
Una accin de medicin en un paquete puede dar tres resultados:

green El paquete permite que el flujo se mantenga en la tasa aprobada. yellow El paquete hace que el flujo sobrepase su tasa aprobada pero no la mxima. red El paquete hace que el flujo sobrepase su tasa mxima.
Puede configurar cada resultado con acciones diferentes en el archivo de configuracin IPQoS. La tasa aprobada y la tasa mxima se explican en la siguiente seccin.
Mdulo de medicin tokenmt

El mdulo tokenmt utiliza conjuntos de tokens para medir la tasa de transmisin de un flujo. Puede configurar tokenmt para que funcione como medidor de tasa nica o de doble tasa. Una instancia de accin tokenmt mantiene dos conjuntos de tokens que determinan si el flujo de trfico cumple los parmetros configurados. En la pgina de comando man tokenmt(7ipp) se explica cmo utiliza IPQoS el paradigma de medidor de tokens. Puede encontrar ms informacin general sobre conjuntos de tokens en el documento Differentiated Services for the Internet escrito por Kalevi Kilkki y en varias pginas web. Los parmetros de configuracin de tokenmt son los siguientes:

committed_rate Especifica la tasa aprobada para el flujo, en bits por segundo. committed_burst Especifica el tamao de rfaga aprobado en bits. El parmetro committed_burst define cuntos paquetes de una clase determinada pueden transmitirse a la red a la tasa aprobada. peak_rate Especifica la tasa mxima en bits por segundo. peak_burst Especifica el tamao de rfaga mxima en bits. El parmetro peak_burst asigna a una clase de trfico un tamao de rfaga mxima que sobrepasa la tasa aprobada.
906
color_aware Establece tokenmt en modo de activacin. color_map Define una matriz de enteros que asgina valores DSCP a verde, amarillo o rojo.
Configuracin de tokenmt como medidor de tasa nica

Para configurar tokenmt como medidor de tasa nica, no especifique un parmetro peak_rate para tokenmt en el archivo de configuracin IPQoS. Para configurar una instancia de tokenmt de tasa nica para que d un resultado rojo, verde o amarillo, debe especificar el parmetro peak_burst. Si no utiliza el parmetro peak_burst, slo puede configurar tokenmt para que d un resultado rojo o verde. Para ver una muestra de tokenmt de tasa nica con dos resultados consulte el Ejemplo 343. Cuando tokenmt funciona como medidor de tasa nica, el parmetro peak_burst es el tamao de rfaga de exceso. committed_rate , y committed_burst o peak_burst deben ser nmeros enteros positivos (no cero).
Configuracin de tokenmt como medidor de doble tasa

Para configurar tokenmt como medidor de doble tasa, especifique un parmetro peak_rate para la accin tokenmt en el archivo de configuracin IPQoS. Un tokenmt de doble tasa siempre tiene los tres resultados: rojo, amarillo y verde. Los parmetros committed_rate, committed_burst y peak_burst deben ser nmeros enteros positivos (no cero).
Configuracin de tokenmt para que reconozca los colores

Para configurar un tokenmt de doble tasa para que reconozca los colores, debe aadir parmetros para agregar especficamente "reconocimiento de color". A continuacin se muestra un ejemplo de instruccin de accin que configura tokenmt para que reconozca colores.
EJEMPLO 371
Accin tokenmt de reconocimiento de color para el archivo de configuracin IPQoS
action { module tokenmt name meter1 params { committed_rate 4000000 peak_rate 8000000 committed_burst 4000000 peak_burst 8000000 global_stats true red_action_name continue yellow_action_name continue green_action_name continue color_aware true color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
Captulo 37 IPQoS detallado (Referencia) 907
EJEMPLO 371 Accin tokenmt de reconocimiento de color para el archivo de configuracin IPQoS (Continuacin)
} }
Para activar el reconocimiento de color, hay que establecer el parmetro color_aware en true. Como medidor con reconocimiento de color, tokenmt asume que el paquete ya se ha marcado como rojo, amarillo o verde por una accin tokenmt anterior. tokenmt con reconocimiento de color evala los paquetes utilizando el punto de cdigo DSCP del encabezado, adems de los parmetros de un medidor de doble tasa. El parmetro color_map contiene una matriz en la que se asigna el punto de cdigo DSCP del encabezado del paquete. Observe la siguiente matriz color_map :
color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
Los paqutes con un DSCP de 020 y 22 se asignan al verde. Los paquetes con un DSCP de 21 y 2342 se asignan al rojo. Los paquetes con un DSCP de 4363 se asignan al amarillo. tokenmt mantiene un mapa de color predeterminado. Aunque puede cambiar los valores predeterminados utilizando los parmetros color_map . En los parmetros color_action_name, puede especificar continue para completar el procesamiento del paquete. Tambin puede aadir un argumento para enviar el paquete a una accin de marcador, por ejemplo yellow_action_name mark22.
Mdulo de medicin tswtclmt

El mdulo de medicin tswtclmt realiza una esttimazin del ancho de banda medio para una clase de trfico utilizando un estimador de tasa basado en tiempo. tswtclmt siempre funciona como medidor con tres resultados. El estimador de tasa proporciona una estimacin de la tasa de llegada del flujo. Esta tasa debe ser aproximada al ancho de banda medio del flujo de trfico en un periodo de tiempo determinado, la fase temporal. El algoritmo de estimacin de tasa se toma de RFC 2859, un marcador de tres colores con fase temporal de desplazamiento. Para configurar tswtclmt, se utilizan los siguiente parmetros:

committed_rate Especifica la tasa aprobada en bits por segundo peak_rate Especifica la tasa mxima en bits por segundo window Define la fase temporal, en milisegundos en los cuales se mantiene el historial de ancho de banda medio
Si necesita informacin tcnica sobre tswtclmt, consulte la pgina de comando man tswtclmt(7ipp) Si necesita informacin general sobre formadores de tasa similares a tswtclmt, consulte RFC 2963, A Rate Adaptive Shaper for Differentiated Services (http:// www.ietf.org/rfc/rfc2963.txt?number=2963).
Mdulo marcador
IPQoS incluye dos mdulos de marcador, dscpmk y dlcosmk. Esta seccin contiene informacin sobre cmo usar ambos marcadores. Normalmente se utiliza dscpmk, porque dlcosmk slo est disponible para sistemas IPQoS con dispositivos VLAN. Si necesita informacin tcnica sobre dscpmk, consulte la pgina de comando man dscpmk(7ipp). Si necesita informacin tcnica sobre dlcosmk, consulte la pgina de comando man dlcosmk(7ipp).
Utilizacin del marcador dscpmk para reenviar paquetes

El marcador recibe flujos de trfico despus de que el clasificador o los mdulos de medicin los hayan procesado. El marcador marca el trfico con un comportamiento de reenvo. Este comportamiento de reenvo es la accin que se realizar en los flujos cuando salgan del sistema IPQoS. El comportamiento de reenvo para una clase de trfico se define en el comportamiento por salto (PHB). El PHB asigna una prioridad a una clase de trfico, que indica los flujos de precedencia de esa clase en relacin con otras clases de trfico. Los comportamientos PHB slo determinan los comportamientos de reenvo en la red contigua del sistema IPQoS. Si necesita ms informacin sobre comportamientos PHB, consulte Comportamientos por salto en la pgina 834. El reenvo de paquetes es el proceso de enviar trfico de una clase determinada a su siguiente destino en una red. En un host como un sistema IPQoS, un paquete se reenva del host al flujo de red local. Para un encaminador Diffserv, un paquete se reenva de la red local al siguiente salto del encaminador. El marcador marca el campo DS del encabezado del paquete con un comportamiento de reenvo comn, definido en el archivo de configuracin IPQoS. A partir de ah, el sistema IPQoS y los sistemas con Diffserv siguientes, reenvan el trfico como se indica en el campo DS, hasta que cambia la marca. Para asignar un PHB, el sistema IPQoS marca un valor en el campo DS del encabezado del paquete. Este valor se denomina punto de cdigo de servicios diferenciados (DSCP). La arquitectura Diffserv define dos tipos de comportamientos de reenvo, EF y AF, que utilizan diferentes puntos DSCP. Si necesita informacin general sobre DSCP, consulte Punto de cdigo DS en la pgina 834. El sistema IPQoS lee el punto de cdigo DSCP del flujo de trfico y evala la precedencia del flujo con respecto a otros flujos de trfico saliente. A continuacin, el sistema IPQoS prioriza todos los flujos de trfico concurrentes y enva cada flujo a la red segn su prioridad. El encaminador Diffserv recibe los flujos de trfico saliente y lee el campo DS de los encabezados de los paquetes. El punto de cdigo DSCP permite al encaminador priorizar y programar los flujos de trfico concurrentes. El encaminador reenva cada flujo segn la prioridad indicada en el PHB. Tenga en cuenta que el PHB no puede aplicarse fuera del encaminador de lmite de sistema de la red, a no ser que haya sistemas con Diffserv en los siguientes puntos que tambin reconozcan el mismo PHB.
Reenvo acelerado (EF) PHB

El reenvo acelerado (EF) garantiza que los paquetes con el punto de cdigo EF recomendado, 46 (101110), reciben el mejor tratamiento posible al enviarse a la red. El reenvo acelerado puede compararse con una lnea alquilada. Los paquetes con el punto de cdigo 46 (101110) tienen garantizado un tratamiento preferencial por todos los encaminadores Diffserv que se encuentren hasta el destino del paquete. Si necesita informacin tcnica sobre EF, consulte RFC 2598, Un PHB de reenvo acelerado.
Reenvo asegurado (AF) PHB

El reenvo asegurado (AF) proporciona cuatro clases diferentes de comportamientos de reenvo que pueden especificarse al marcador. La siguiente tabla muestra las clases, las tres precedencias de descarte proporcionadas para cada clase y los puntos de cdigo DSCP recomendados asociados con cada precedencia. Cada DSCP est representado por su valor AF, su valor decimal y su valor binario.
TABLA 372
Puntos de cdigo de reenvo asegurado

Clase 1 Clase 2 Clase 3 Clase 4
Precedencia con baja probabilidad de descarte Precedencia con probabilidad de descarte media Precedencia con alta probabilidad de descarte
AF11 = 10 (001010) AF12 = 12 (001100) AF13 = 14 (001110)
AF21 = 18 (010010) AF22 = 20 (010100) AF23 = 22 (010110)
AF31 = 26 (011010) AF32 = 28 (011100) AF33 = 30 (011110)
AF41 = 34 (100010) AF42 = 36 (100100) AF43 = 38 (100110)
Cualquier sistema con Diffserv puede utilizar el punto de cdigo AF como gua para proporcionar comportamientos de reenvo diferenciados a diferentes clases de trfico. Cuando estos paquetes llegan a un encaminador con Diffserv, el encaminador evala los puntos de cdigo de los paquetes junto con los puntos de cdigo DSCP de otro trfico en cola. Despus, el encaminador reenva o descarta paquetes, segn el ancho de banda disponible y las prioridades asignadas por los puntos DSCP de los paquetes. Los paquetes marcados con PHB EF tienen ancho de banda garantizado con respecto a paquetes marcados con cualquier comportamiento PHB AF. El marcado de paquetes debe coordinarse entre cualquier sistema IPQoS de la red y el encaminador Diffserv, para garantizar que los paquetes se reenvan de manera apropiada. Por ejemplo, suponga que los sistemas IPQoS de la red marcan los paquetes con puntos de cdigo AF21 (010010), AF13 (001110), AF43 (100110) y EF (101110). Deber aadir los puntos de cdigo DSCP AF21, AF13, AF43 y EF al archivo correspopndiente del encaminador Diffserv.
Para obtener una explicacin tcnica sobre la tabla de puntos de cdigo AF, consulte RFC 2597. En las pginas web de los fabricantes de encaminadores Cisco Systems y Juniper Networks puede encontrar informacin detallada acerca de la configuracin de comportamientos AF PHB. Puede usar esta informacin para definir comportamientos PHB AF para sistemas IPQoS y encaminadores. Tambin, la documentacin del fabricante del encaminador contiene instrucciones para definir puntos de cdigo DS en el equipo.
Suministrar un DSCP al marcador

El DSCP tiene un tamao de 6 bits. El campo DS tiene un tamao de 1 byte. Al definir un DSCP, el marcador marca los 6 primeros bits significativos del encabezado del paquete con el punto de cdigo DS. Los 2 bits menos significativos no se utilizan. Para definir un DSCP, se utiliza el siguiente parmetro en una instruccin de accin de marcador:
dscp_map{0-63:DS_codepoint}
El parmetro dscp_map es una matriz de 64 elementos, que se rellena con el valor (DSCP). dscp_map se utiliza para asignar puntos DSCP entrantes a puntos DSCP salientes que aplica el marcador dscpmk. Debe especificar el valor DSCP de dscp_map en notacin decimal. Por ejemplo, el punto de cdigo EF 101110 debe traducirse al valor decimal 46, que da como resultado dscp_map{0-63:46}. Para puntos de cdigo AF, debe convertir los diferentes puntos de cdigo que se muestran en la Tabla 372 a notacin decimal para usarlos con dscp_map.
Uso del marcador dlcosmk con dispositivos VLAN

El mdulo de marcador dlcosmk marca un comportamiento de reenvo en el encabezado MAC de un datagrama. dlcosmk slo se puede usar en un sistema IPQoS con una interfaz VLAN. dlcosmk aade cuatro bytes, denominados etiqueta VLAN, al encabezado MAC. La etiqueta VLAN incluye un valor de prioridad de usuario de 3 bits, definido en el estndar IEEE 801.D. Los nodos de red con Diffserv que admitan VLAN pueden leer el campo de prioridad de usuario en un datagrama. Los valores de prioridad de usuario 801.D utilizan marcas CoS (Class of Service), que son comunes e interpretables para nodos de red comerciales. Puede utilizar los valores de prioridad de usuario de la accin de marcador dlcosmk definiendo la clase de marcas de servicio de la siguiente tabla.
911
TABLA 373
Valores de prioridad de usuario 801.D

Definicin
Clase de servicio
0 1 2 3 4 5 6 7
Mejor posible Segundo plano Momentos libres Excelente Carga controlada Vdeo, latencia de menos de 100ms Vdeo, latencia de menos de 10ms Control de red
Si necesita ms informacin sobre dlcosmk, consulte la pgina de comando man dlcosmk(7ipp).
Configuracin IPQoS para sistemas con dispositivos VLAN

En esta seccin se presenta un escenario de red simple para mostrar cmo utilizar IPQoS en sistemas con dispositivos VLAN. El escenario incluye dos sistemas IPQoS, machine1 y machine2, conectados mediante un nodo. El dispositivo VLAN de machine1 tiene la direccin IP 10.10.8.1. El dispositivo VLAN de machine2 tiene la direccin IP 10.10.8.3. El siguiente archivo de configuracin IPQoS de machine1 muestra una solucin simple para marcar el trfico a travs del nodo a machine2.
EJEMPLO 372
Archivo de configuracin IPQoS para un sistema con un dispositivo VLAN
fmt_version 1.0 action { module ipgpc name ipgpc.classify filter { name myfilter2 daddr 10.10.8.3 class myclass } class { name myclass next_action mark4 }
EJEMPLO 372 Archivo de configuracin IPQoS para un sistema con un dispositivo VLAN (Continuacin)
} action { name mark4 module dlcosmk params { cos 4 next_action continue global_stats true } }
En esta configuracin, todo el trfico de machine1 destinado para el dispositivo VLAN de machine2 se transfiere al marcador dlcosmk. La accin de marcador mark4 indica a dlcosmk que debe aadir una marca VLAN a datagramas de la clase myclass con un valor CoS de 4. El valor de prioridad de usuario de 4 indica que el conmutador que hay entre los dos equipos debe proporcionar reenvo de carga controlado a los flujos de trfico myclass desde machine1 .
Mdulo flowacct
El mdulo IPQoS flowacct registra informacin sobre flujos de trfico, un proceso que se denomina control de flujo. El control de flujo genera datos que pueden utilizarse para la facturacin de clientes o para evaluar la cantidad de trfico de una clase determinada. El control de flujo es optativo. flowacct es, generalmente, el ltimo mdulo que los mdulos medidos o marcados encuentras antes de enviarse al flujo de red. Para ver una ilustracin de la ubicacin de flowacct en el modelo Diffserv, consulte la Figura 321. Para ver informacin tcnica detallada sobre flowacct, consulte la pgina de comando man flowacct(7ipp). Para activar el control de flujo, debe usar la herramienta de control de Solaris exacct y el comando acctadm, adems de flowacct . Para ver los pasos necesarios para configurar el control de flujo, consulte la seccin Establecimiento del control de flujo (Mapa de tareas) en la pgina 897.
Parmetros de flowacct
El mdulo flowacct recopila informacin sobre flujos en una tabla de flujo compuesta por registros de flujo. Cada entrada de la tabla contiene un registro de flujo. No se puede ver una tabla de flujo. En el archivo de configuracin IPQoS, se definen los siguientes parmetros de flowacct para medir los registros de flujo y escribirlos en la tabla de flujo:
timer Define un intervalo, en milisengundos, en el que los flujos con tiempo de espera superado se eliminan de la tabla de flujo y se escriben en el archivo creado por acctadm timeout Define un intervalo, en milisegundos, que especifica cunto tiempo debe estar inactivo un flujo de paquete para que se supere el tiempo de espera del flujo
Nota Puede configurar timer y timeout para que tengan diferentes valores.
max_limit Define el lmite mximo para el nmero de registros de flujo que pueden almacenarse en la tabla de flujo
Para ver un ejemplo de cmo se utilizan los parmetros flowacct en el archivo de configuracin IPQoS, consulte Cmo configurar el control de flujo en el archivo de configuracin IPQoS en la pgina 883.
Tabla de flujo
El mdulo flowacct mantiene una tabla de flujo que registra todos los flujos de paquetes supervisados por una instancia de flowacct. Un flujo se identifica mediante los siguientes parmetros, que incluyen flowacct 8tuple:

Direccin de origen Direccin de destino Puerto de origen Puerto de destino DSCP ID de usuario ID de proyecto Nmero de protocolo
Si todos los parmetros de 8tuple de un flujo siguen siendo los mismos, la tabla de flujo contiene slo una entrada. El parmetro max_limit determina el nmero de entradas que puede contener una tabla de flujo. La tabla de flujo se explora en el intervalo especificado en el archivo de configuracin IPQoS del parmetro timer. El tiempo predeterminado es 15 segundos. El tiempo de espera de un flujo se supera cuando el sistema IPQoS no enva los paquetes del flujo en el intervalo timeout definido en el archivo de configuracin IPQoS. El intervalo de tiempo de espera predeterminado es de 60 segundos. Las entradas con tiempo de espera superado se escriben en el archivo de control creado con el comando acctadm.
Registros flowacct
Un registro flowacct contiene los atributos descritos en la siguiente tabla.
TABLA 374
Atributos de un registro flowacct

Contenido de atributo Tipo
Nombre de atributo
src-addr-tipo de direccin
Direccin de oregien del originador. El tipo de Bsico direccin es v4 para IPv4 o v6 para IPv6, especificado en el archivo de configuracin IPQoS. Direccin de destino de los paquetes. El tipo de Bsico direccin es v4 para IPv4 o v6 para IPv6, especificado en el archivo de configuracin IPQoS. Puerto de origen del que proviene el flujo. Bsico
dest-addr-tipo de direccin
src-port dest-port
Nmero de puerto de destino al que est vinculado el Bsico flujo. Nmero de protocolo del flujo. Nmero de paquetes del flujo. Nmero de bytes del flujo. Bsico Bsico Bsico
protocol total-packets total-bytes nombre de accin creation-time
Nombre de la accin flowacct que ha registrado este Bsico flujo. Primera vez que flowacct examina un paquete del flujo. ltima vez que se observ un paquete del flujo. DSCP en los encabezados del paquete saliente del flujo. ID o nombre de usuario UNIX, obtenido de la aplicacin. ID de proyecto, obtenido de la aplicacin. Slo ampliado Slo ampliado Slo ampliado Slo ampliado Slo ampliado
last-seen diffserv-field
user
projid
Utilizacin de acctadm con el mdulo flowacct

El comando acctadm se utiliza para crear un archivo en el que se almacenan los registros de flujo generados por flowacct . acctadm funciona en combinacin con la herramienta de control ampliado. Si necesita informacin tcnica sobre acctadm, consulte la pgina de comando man acctadm(1M). El mdulo flowacct observa los flujos y rellena la tabla de flujo con registros. A continuacin, flowacct evala los parmetros y atributos en el intervalo especificado por timer . Cuando un paquete no se detecta durante el tiempo definido en el valor last_seen ms el valor timeout, se supera su tiempo de espera. Todas las entradas con tiempo de espera superado se eliminan de la tabla de flujo. Estas entradas se escriben en el archivo de control cada vez que pasa el intervalo de tiempo especificado en el parmetro timer.
Archivo de configuracin IPQoS
Para invocar a acctadm para utilizarlo con el mdulo flowacct, utilice la siguiente sintaxis:
acctadm -e file-type -f filename flow
acctadm -e tipo de archivo
Invoca a acctadm con la opcn -e. "-e" indica que a continuacin hay una lista de recursos. Especifica los atributos que se deben recopilar. tipo de archivo debe reemplazarse por basic o extended. Para ver una lista de atributos de cada tipo de archivo, consulte la Tabla 374. Crea el archivo nombre de archivo que contendr los registros de flujo. Indica que acctadm debe ejecutarse con IPQoS.
-fnombre de archivo flow

Esta seccin contiene informacin detallada sobre las secciones del archivo de configuracin IPQoS. La directiva IPQoS activada en el inicio se almacena en el archivo /etc/inet/ipqosinit.conf. Aunque puede editar este archivo, el mejor mtodo para un sistema IPQoS nuevo es crear un archivo de configuracin con un nombre diferente. Las tareas necesarias para aplicar y depurar una configuracin IPQoS se encuentran en el Captulo 34, Creacin del archivo de configuracin IPQoS (Tareas). La sintaxis del archivo de configuracin IPQoS se muestra en el Ejemplo 373. El ejemplo utiliza las siguientes convenciones:
texto con estilo de ordenador Informacin sintctica proporcionada para explicar las secciones del archivo de configuracin. El usuario no noecesita escribir el texto con estilo de ordenador en ningn momento. texto en negrita Texto literal que debe escribir en el archivo de configuracin IPQoS. Por ejemplo, siempre debe empezar el archivo de configuracin IPQoS con fmt_version. texto en cursiva Texto variable que se reemplaza con informacin descriptiva sobre la configuracin. Por ejemplo, nombre de accin o nombre de mdulo deben reemplazarse siempre por informacin sobre la configuracin.
Sintaxis del archivo de configuracin IPQoS
EJEMPLO 373
file_format_version ::= fmt_version version action_clause ::= action { name action-name module module-name params-clause | "" cf-clauses
916
EJEMPLO 373
Sintaxis del archivo de configuracin IPQoS
(Continuacin)
} action_name ::= string module_name ::= ipgpc | dlcosmk | dscpmk | tswtclmt | tokenmt | flowacct params_clause ::= params { parameters params-stats | "" } parameters ::= prm-name-value parameters | "" prm_name_value ::= param-name param-value params_stats ::= global-stats boolean cf_clauses ::= class-clause cf-clauses | filter-clause cf-clauses | "" class_clause ::= class { name class-name next_action next-action-name class-stats | "" } class_name ::= string next_action_name ::= string class_stats ::= enable_stats boolean boolean ::= TRUE | FALSE filter_clause ::= filter { name filter-name class classname parameters } filter_name ::= string
El texto restante describe cada seccin principal del archivo de configuracin IPQoS.
Instruccin action
Las instrucciones action se utilizan para invocar a los diferentes mdulos IPQoS descritos en Arquitectura IPQoS y el modelo Diffserv en la pgina 903. Al crear el archivo de configuracin IPQoS, siempre se debe empezar por el nmero de versin. Despus, se debe aadir la siguiente instruccin action para invocar al clasificador:
917
fmt_version 1.0 action { module ipgpc name ipgpc.classify }
A continuacin de la instruccin action de clasificador, aada una clusula params o class. Utilice la siguiente sintaxis para el resto de instrucciones action:
action { name action-name module module-name params-clause | "" cf-clauses }
name nombre de accin module nombre de mdulo clusula params
Asigna un nombre a la accin. Identifica el mdulo IPQoS que se debe invocar, que debe ser uno de los mdulos de la Tabla 375. Pueden ser parmetros que debe procesar el clasificador, como estadsticas globales, o la siguiente accin que procesar. Conjunto de cero o ms clusulas class o filter
clusulas cf
Definiciones de mdulo
La definicin de mdulo indica qu mdulo procesar los parmetros de la instruccin action. El archivo de configuracin IPQoS puede incluir los siguientes mdulos.
TABLA 375
Mdulos IPQoS
Definicin
Nombre de mdulo
ipgpc dscpmk
Clasificador IP Marcador que se debe utilizar para crear puntos de cdigo DSCP en paquetes IP Marcador que se debe utilizar con dispositivos VLAN Medidor de conjunto de tokens Medidor de fase temporal de desplazamiento
dlcosmk tokenmt tswtclmt
918
TABLA 375
Mdulos IPQoS
(Continuacin)
Definicin
Nombre de mdulo
flowacct
Mdulo de control de flujo
Clusula class
Se define una clusula class para cada clase de trfico. Utilice esta sintaxis para definir las clases restantes de la configuracin IPQoS:
class { name class-name next_action next-action-name }
Para activar la recopilacin de estadsticas de una clase determinada, primero debe activar las estadsticas globales en la instruccin action ipgpc.classify. Si necesita ms informacin, consulte Instruccin action en la pgina 917. Utilice la instruccin enable_stats TRUE cuando quiera activar la recopilacin de estadsticas de una clase. Si no necesita recopilar estadsticas de una clase, puede especificar enable_stats FALSE. Tambin puede eliminar la instruccin enable_stats. El trfico de una red con IPQoS que no est definido especficamente pertenece a la clase predeterminada.
Clusula filter
Los filtros estn compuestos por selectores que agrupan los flujos de trfico en clases. Estos selectores definen especficamente los criterios que deben aplicarse al trfico de la clase creada en la clusula class. Si un paquete cumple todos los selectores del filtro de mxima prioridad, se considera un miembro de la clase del filtro. Para ver una lista completa de los selectores que pueden usarse con el clasificador ipgpc, consulte la Tabla 371. Los filtros se definen en el archivo de configuracin IPQoS utilizando una clusula filter, que tiene la siguiente sintaxis:
filter { name filter-name class class-name parameters (selectors) }
Herramienta de configuracin ipqosconf
Clusula params
La clusula params contiene instrucciones de procesamiento para el mdulo definido en la instruccin de accin. Utilice la siguiente sintaxis para la clusula params:
params { parameters params-stats | "" }
En la clusula params se utilizan parmetros aplicables al mdulo. El valor estadsitcas params de la clusula params es global_stats TRUE o global_stats FALSE. La instruccin global_stats TRUE activa estadsticas de estilo UNIX para la instruccin action en la que se invocan las estadsticas globales. Puede ver las estadsticas con el comando kstat. Debe activar las estadsticas de la instruccin action antes de poder activar las estadsitcas por clase.
Herramienta de configuracin ipqosconf

La herramienta ipqosconf se utiliza para leer el archivo de configuracin IPQoS y configurar los mdulos IPQoS del kernel UNIX. ipqosconf realiza las siguientes acciones:
Aplica el archivo de configuracin a los mdulos de kernel IPQoS (ipqosconf -a nombre de archivo) Indica el archivo de configuracin IPQoS actual del kernel (ipqosconf -l) Asegura que la configuracin IPQoS actual se lee y aplica cada vez que se reinicia el equipo (ipqosconf -c) Vaca los mdulos de kernel IPQoS actuales (ipqosconf -f)
Si necesita informacin tcnica, consulte la pgina de comando man ipqosconf(1M).
920
Glosario
El presente glosario contiene definiciones de trminos nuevos que se utilizan en este manual y que no figuran en el glosario Sun Global Glossary del sitio web docs.sun.com.
3DES administracin de claves AES Consulte Triple-DES. La forma de administrar la SA (Security Association). Advanced Encryption Standard. Una tcnica de encriptacin de datos en bloques de 128 bits simtricos. En octubre del ao 2000, el gobierno de Estados Unidos adopt la variante Rijndael del algoritmo como estndar de cifrado. AES sustituye al cifrado DES como estndar gubernamental. Puede ser un agente interno o externo. Encaminador o servidor de la red externa a la que accede el nodo mvil. Encaminador o servidor de la red principal de un nodo mvil. En IP para mviles, mensaje que los agentes internos y externos envan para avisar de su presencia en cualquier vnculo con el que se haya conectado. Proceso en el que los encaminadores anuncian su presencia junto con otros parmetros de vnculo e Internet, de manera peridica o como respuesta a un mensaje de solicitud de encaminador.
agente de movilidad agente externo agente interno anuncio de agente anuncio de encaminador
anuncio de vecinos Respuesta a mensaje de solicitud de vecino o proceso de un nodo que enva anuncios de vecino no solicitados para anunciar un cambio de direccin de capa de vnculo. asociacin de seguridad de la movilidad ataque smurf Serie de medidas de seguridad, por ejemplo un algoritmo de autenticacin, entre un par de nodos, que se aplican a mensajes de protocolo IP para mviles y que los dos nodos se intercambian. Uso de un paquete icmp echo request dirigido a una direccin de difusin IP o varias direcciones de emisin mltiple desde ubicaciones remotas para crear cadas o congestiones severas en las redes.
autoconfiguracin Proceso mediante el cual un host configura automticamente su direccin IPv6 a partir del prefijo del sitio y la direccin MAC local. autoconfiguracin Proceso mediante el cual un host genera sus propias direcciones IPv6 combinamdo su direccin MAC y sin estado un prefijo de IPv6 anunciado por un encaminador IPv6 local.
921
autoridad de certificacin
autoridad de certificacin base de datos de directivas de seguridad (SPD) Blowfish
Organizacin externa o empresa que ofrece confianza y que emite los certificados digitales utilizados para crear firmas digitales y pares de claves pblicas-privadas. La autoridad de certificacin garantiza la identidad de la persona a la que se concede el certificado exclusivo. Base de datos que determina el nivel de proteccin que debe aplicarse a un paquete. La SPD filtra el trfico de IP para establecer si se debe descartar un paquete, autorizarle el paso o protegerlo con IPsec.
Algoritmo cifrado de bloques simtricos con una clave de tamao variable que va de 32 a 448 bits. Bruce Schneier, su creador, afirma que Blowfish se optimiza en el caso de aplicaciones en que la clave se modifica con poca frecuencia. Consulte autoridad de certificacin. Capa inmediatamente inferior a IPv4/IPv6. Los datos que se transportan en un paquete. La carga til no incluye la informacin de encabezado que se necesita para que el paquete llegue a su destino. Sistema de cifrado en el que el emisor y el receptor de un mensaje emplean claves distintas para cifrar y descifrar dicho mensaje. Las claves asimtricas se usan para establecer un canal seguro de cifrado simtrico de claves. protocolo de Diffie-Hellman es un ejemplo de protocolo de claves asimtricas. Se contrapone a symmetric key cryptography (criptografa de clave simtrica). En IPQoS, grupo de flujos de datos de red que comparten caractersticas similares. Las clases se definen en el archivo de configuracin de IPQoS. En IPQoS, proceso de recopilacin y registro de informacin relativa a los flujos de trfico. La contabilidad de flujos se establece definiendo los parmetros del mdulo flowacct en el archivo de configuracin de IPQoS. Sistema criptogrfico basado en dos claves. La clave pblica es de dominio general. La clave privada slo la conoce el destinatario del mensaje. IKE proporciona claves pblicas para IPsec. Consulte datagrama IP. Paquete de informacin que se transfiere por IP. Un datagrama IP contiene un encabezado y datos. En el encabezado figuran las direcciones del origen y el destino del datagrama. Otros campos del encabezado permiten identificar y volver a combinar los datos con los datagramas adjuntos en el destino. Siglas en ingls de Data Encryption Standard, estndar de cifrado de datos. Un mtodo de cifrado de claves simtricas que se desarroll en 1975 y que la ANSI estandariz en 1981 como ANSI X.3.92. DES utiliza una clave de 56 bits.
CA capa de vnculo carga til cifrado de claves asimtricas
clase contabilidad de flujos criptografa por clave pblica datagrama datagrama IP
DES
descubrimiento de En IP para mviles, proceso segn el cual un nodo mvil determina si se ha movido, cul es su ubicacin agente actual, as como su direccin de auxilio en una red externa. descubrimiento de Proceso de los hosts que buscan encaminadores residentes en un vnculo conectado. encaminadores
922
direccin de uso local de sitio
descubrimiento de Mecanismo de IP que permite a los host encontrar otros host que residen en un vnculo conectado. vecinos deteccin de errores deteccin de reparaciones digital signature (firma digital) direccin de auxilio direccin de datos Proceso en el que se detecta que deja de funcionar una interfaz o la ruta de una interfaz a un dispositivo de capa de Internet. IP Multipathing para redes presenta dos clases de deteccin de errores: deteccin en vnculos (predeterminada) o en sondeos (opcional). Proceso en el que se detecta si una tarjeta de interfaz de red o la ruta de dicha tarjeta a un dispositivo de capa 3 comienza a funcionar correctamente despus de un fallo. Cdigo digital que se vincula con un mensaje transmitido electrnicamente y que identifica al remitente de forma exclusiva. Direccin temporal de un nodo mvil que sirve como punto de salida del tnel cuando el nodo mvil se conecta a una red externa. Direccin IP que puede utilizarse como origen o destino de datos. Las direcciones de datos forman parte de un grupo IPMP y se pueden usar para enviar y recibir trfico en cualquier interfaz del grupo. Adems, el conjunto de direcciones de datos de un grupo IPMP se puede utilizar continuamente siempre que funcione una interfaz en el grupo. Direcciones de red IPv4 cuya parte principal de la direccin es de bits de todo cero (10.50.0.0) o todo uno (10.50.255.255). Un paquete que se enva a una direccin de difusin desde un equipo de la red local se distribuye a todos los equipos de dicha red. Direccin IPv6 que se asigna a un grupo de interfaces (en general pertenecientes a nodos distintos). El paquete que se enva a una direccin de difusin por proximidad se dirige a la interfaz ms prxima que contenga dicha direccin. La ruta del paquete se atiene a la medicin de distancia del protocolo de encaminamiento.
direccin de difusin direccin de difusin por proximidad
Formato de direccin IPv4 que no se basa en clases de red (clase A, B y C). Las direcciones CIDR tienen un direccin de tamao de 32 bits. Utilizan la notacin decimal con puntos IPv4 estndar, ms un prefijo de red. Dicho encaminamiento entre dominios sin prefijo define el nmero de red y la mscara de red. clase (CIDR) direccin de multidifusin direccin de prueba direccin de unidifusin direccin de uso local direccin de uso local de sitio Direccin IPv6 que identifica un grupo de interfaces de una manera determinada. Un paquete enviado a una direccin multidifusin se distribuye a todas las interfaces del grupo. La direccin de multidifusin IPv6 funciona de manera similar a la direccin de emisin IPv4. Direccin IP en un grupo IPMP que debe usarse como direccin de origen o destino de sondas; no debe emplearse como direccin de origen o destino para trfico de datos. Direccin IPv6 que identifica una sola interfaz de un nodo compatible con IPv6. Una direccin de unidifusin se compone de prefijo de sitio, ID de subred e ID de interfaz. Direccin de unidifusin que slo tiene un mbito de encaminamiento local (dentro de una subred o una red de suscriptores). Esta direccin puede tener tambin un mbito de exclusividad local o global. Designacin que se usa para direccin en un solo sitio.
923
direccin DEPRECATED
direccin DEPRECATED direccin local de vnculo direccin permanente direccin privada
Direccin IP que no sirve como direccin de origen de datos que estn en un grupo IPMP. En general, las direcciones de prueba IPMP son del tipo DEPRECATED . Ahora bien, cualquier direccin se puede marcar como DEPRECATED para impedir que pueda utilizarse como direccin de origen. En IPv6, designacin que se usa para asignar una direccin a un solo vnculo para, por ejemplo, la configuracin automtica de direcciones. De forma predeterminada, la direccin local de vnculo se crea a partir de la direccin MAC del sistema. Direccin IP que se asigna a un nodo mvil durante un periodo de tiempo prolongado. La direccin permanece inalterable en tanto el nodo se conecta con cualquier otra ubicacin de Internet o la red de una organizacin. Direccin IP que no se puede encaminar por Internet. Las redes internas utilizan las direcciones privadas en los host que no necesitan conexin con Internet. Las direcciones estn definidas en Address Allocation for Private Internets (http://www.ietf.org/rfc/rfc1918.txt?number=1918) y con frecuencia se las denomina direcciones 1918. Interfaces de red que proporcionan reenvo de trfico en el nivel de Ethernet (vnculo de datos) del protocolo de pila IP. El dominio de interpretacin define los formatos de los datos, los tipos de intercambio de trfico de red y las convenciones de denominacin de informacin relacionada con la seguridad. Ejemplos de informacin relacionada con la seguridad son los algoritmos y modos criptogrficos, y las directrices de seguridad. Siglas en ingls de Digital Signature Algorithm, algoritmo de firma digital. Algoritmo de clave pblica con un tamao de clave variable que va de 512 a 4096 bits. DSS, el estndar del gobierno de Estados Unidos, llega hasta los 1024 bits. DSA se basa en el algotirmo SHA-1 para las entradas. Encabezado de extensin que proporciona autenticacin e integridad, sin confidencialidad, a datagramas IP. Consulte encabezado IP. Veinte bytes de datos que identifican un paquete de Internet de forma exclusiva. El encabezado contiene direcciones de origen y destino del paquete. Una opcin del encabezado permite agregar ms bytes. Proceso de colocacin de un encabezado y carga til en el primer paquete, que posteriormente se coloca en la carga til del segundo paquete. Forma opcional de tnel de IPv4 en IPv4 vlida para agentes internos, externos y nodos mviles. El encapsulado mnimo presenta 8 o 12 bytes menos de estructura general que IP en encapsulado IP. Encabezado de extensin que proporciona integridad y confidencialidad a los datagramas. ESP es uno de los cinco componentes de la arquitectura para seguridad IP (IPsec). Asociacin entre una direccin permanente y una de auxilio, junto con la vida til que tenga dicha asociacin.
dispositivo LAN virtual (VLAN) dominio de interpretacin
DSA
encabezado de autenticacin encabezado de paquete encabezado IP encapsulado encapsulado mnimo Encapsulating Security Payload (ESP) enlace de movilidad
924
HMAC
expansin de carga Proceso de distribuir trfico de entrada o salida en un conjunto de interfaces. Como consecuencia de la expansin de carga, se obtiene un mayor rendimiento. La expansin de carga slo se produce cuando el trfico de red fluye hacia varios destinos que utilizan mltiples conexiones. Hay dos clases de expansin de carga: expansin de carga de entrada para trfico de entrada, y de salida para trfico de salida. failover (conmutacin por error) filtro Proceso de conmutar la conexin del acceso a la red de una interfaz defectuosa a otra que se encuentra en buen estado. El acceso a red incluye unidifusin, multidifusin y trfico de emisin IPv4, as como unidifusin, multidifusin y trfico de emisin IPv6. Conjunto de reglas que establecen las caractersticas de una clase en el archivo de configuracin de IPQoS. El sistema IPQoS selecciona para procesar cualquier flujo de trfico de datos que se adecue a los filtros de su archivo de configuracin de IPQoS. Consulte filtro de paquetes. Funcin de servidor de seguridad que se puede configurar para permitir o denegar el paso de determinados paquetes a travs de un servidor de seguridad. Un filtro de paquetes que puede supervisar el estado de las conexiones activas y recurrir a la informacin obtenida para establecer los paquetes de red que podrn pasar a travs del servidor de seguridad (firewall). Al efectuar el seguimiento y relacionar solicitudes y respuestas, un filtro de paquetes con estado puede detectar respuestas que no coincidan con una consulta. Consulte filtro de paquetes con estado. Forma opcional de tnel vlida para agentes internos, externos y nodos mviles. GRE permite encapsular un paquete de cualquier protocolo de capa de red en un paquete de distribucin del mismo o cualquier otro protocolo de capa de red. Grupo de interfaces que tienen la misma direccin de direccin por proximidad IPv6. La implementacin de IPv6 en el sistema operativo Solaris OS no permite crear direcciones ni grupos de difusin por proximidad. Ahora bien, los nodos IPv6 de Solaris pueden enviar trfico a grupos de difusin por proximidad. En IP para mviles, conjunto de direcciones designadas por el administrador de red principal para que lo utilicen los nodos mviles que necesitan una direccin permanente. Grupo con varias rutas IP, compuesto por una serie de interfaces de red con un conjunto de direcciones de datos que el sistema trata como intercambiables para mejorar la disponibilidad y utilizacin de la red. El grupo IPMP, incluidas todas sus direcciones de datos e interfaces IP subyacentes, lo representa una interfaz IPMP. Consulte encabezado IP. Un mtodo de hashing por clave para autenticar mensajes. HMAC es un algoritmo de autenticacin de claves secretas. HMAC se utiliza junto a una funcin de hash criptogrfica iterativa, como por ejemplo MD5 o SHA-1, en combinacin con una clave secreta compartida. La capacidad criptogrfica de HMAC depende de las propiedades de la funcin de hash subyacente.
filtro de paquetes filtro de paquetes con estado
filtro de paquetes dinmico Generic Routing Encapsulation (GRE) grupo de difusin por proximidad
grupo de direcciones grupo IPMP
header (encabezado) HMAC
925
hop (salto)
hop (salto) host
Medida que se usa para identificar la cantidad de encaminadores que hay entre dos hosts o sistemas. Si un origen y un destino estn separados por tres encaminadores, los sistemas estn a una distancia de cuatro saltos. Sistema que no reenva paquetes. Al instalar el sistema operativo Solaris, de forma predeterminada un sistema se convierte en host. Es decir, el sistema no puede reenviar paquetes. En general, un host tiene una interfaz fisica, aunque tambin puede constar de varias interfaces. Siglas inglesas de Internet Control Message Protocol (protocolo de mensajes de control de Internet). Se utiliza para administrar e intercambiar mensajes de control. Siglas inglesas de Internet Key Exchange (intercambio de claves en Internet). IKE automatiza el suministro de material de claves autenticadas para la SA (Security Association) de IPsec. Interfaz fsica que no se emplea para transportar trfico de datos a menos que otra inferfaz fsica haya sufrido algn problema. Valor entero que indica la fila de la base de datos de asociaciones de seguridad (SDAB) que debe utilizar un destinatario para descifrar un paquete recibido. Se trata de una pseudointerfaz que proporciona conexin de red virtual aunque no est configurada en una interfaz de red fsica. Contenedores tales como dominios xVM o zonas IP exclusivos se configuran conforme a interfaces de red virtual (VNIC) para formar una red virtual. Conexin de un sistema con un vnculo. Esta conexin se suele implementar entre un controlador de dispositivo y una tarjeta de interfaz de red. Algunas tarjetas de interfaz de red pueden presentar varios puntos de conexin, por ejemplo qfe. Mtodo o protocolo con el cual se envan datos de un sistema a otro por Internet. Consulte Internet Protocol (IP), IPv4, IPv6. Mecanismo para colocar en tneles paquetes IP dentro de paquetes IP. Funcin de software que permite la implementacin del estndar modelo DiffServ, adems de contabilidad de flujo y marcacin 802.1 D para LAN virtuales. Mediante IPQoS se pueden proporcionar varios niveles de servicios de red a clientes y aplicaciones, segn lo que se establezca en el archivo de configuracin de IPQoS. Seguridad IP. Arquitectura de seguridad que proporciona proteccin a los datagramas IP. Internet Protocol version 4. IPv4 en ocasiones se denomina IP. Esta versin admite un espacio de direcciones de 32 bits. Internet Protocol version 6. IPv6 admite espacio de direcciones de 128 bits. Lista de certificados de claves pblicas revocados por una autoridad de certificacin. Estas listas se almacenan en la base de datos de CRL que se mantiene con IKE.
ICMP IKE inactividad ndice de parmetros de seguridad interfaz de red virtual (VNIC) interfaz fsica
Internet Protocol (IP) IP IP en encapsulado IP IPQoS
IPsec IPv4 IPv6 lista de revocacin de certificados (CRL)
926
paquete icmp echo request
MAC (Message Authentication Code) marker (marcador)
MAC proporciona seguridad en la integridad de los datos y autentica el origen de los datos. MAC no proporciona proteccin contra intromisiones externas.
1. Mdulo de la arquitectura DiffServ e IPQoS que marca el campo DS de un paquete IP con un valor que indica la forma en que se reenva el paquete. En la implementacin de IPQoS, el mdulo marker es dscpmk. 2. Mdulo de la implementacin de IPQoS que marca la etiqueta de LAN virtual de un datagrama de Ethernet con un valor de prioridad de usuario. El valor de prioridad de usuario indica la forma en que los datagramas deben reenviarse en una red con dispositivos VLAN. Este mdulo se denomina dlcosmk.
MD5 meter (medidor) migracin de direcciones modelo DiffServ
Una funcin de hash criptogrfica iterativa utilizada para autenticar mensajes, incluso las firmas digitales. Rivest desarroll esta funcin en 1991. Mdulo de la arquitectura DiffServ que mide la velocidad del flujo de trfico de una determinada clase. La implementacin de IPQoS presenta dos medidores, tokenmt y tswtclmt. Proceso que traslada una direccin de una interfaz de red a otra interfaz de red. La migracin de direcciones tiene lugar como proceso de recuperacin de errores cuando falla una interfaz, o de recuperacin si se repara una interfaz. Estndar de arquitectura de Internet Engineering Task Force para implementar distintas clases de servicios en redes IP. Los mdulos principales son classifier (clasificador), meter (medidor), marker (marcador), scheduler (programador) y dropper (descartador). IPQoS implementa los mdulos classifier, meter y marker. El modelo DiffServ se describe en RFC 2475, An Architecture for Differentiated Services. Siglas en ingls de Maximum Transmission Unit, unidad de transmisin mxima. El tamao, en octetos, que puede transmitirse por un vnculo. Por ejemplo, una red Ethernet tiene una MTU de 1500 octetos. Sistema con ms de una interfaz fsica y que no reenva paquetes. Un host multired puede ejecutar protocolos de encaminamiento. Denominacin que identifica de forma exclusiva el nodo mvil con el formato usuario@dominio.
MTU multihomed host (host multired) NAI (Network Access Identifier) NAT nodo nodo mvil nombre de keystore paquete
Consulte traduccin de la direccin de red. En IPv6, cualquier sistema compatible con IPv6, ya sea host o encaminador. Host o encaminador capaz de cambiar su punto de conexin de una red a otra y mantener todas las comunicaciones utilizando su direccin IP permanente. Nombre que un administrador asigna a un rea de almacenamiento o keystore, en una tarjeta de interfaz de red. El nombre de keystore tambin se denomina token o ID de token. Grupo de informacin que se transmite como una unidad a travs de lneas de comunicaciones. Contiene un encabezado IP y una carga til.
paquete icmp echo Paquete que se enva a un sistema en Internet para solicitar una respuesta. Esta clase de paquetes suelen request denominarse "ping".
927
PFS (Perfect Forward Secrecy)
PFS (Perfect Forward Secrecy)
En PFS, la clave que se emplea para proteger la transmisin de datos no se aplica en la derivacin de claves adicionales. La fuente de la clave que se usa para proteger la transmisin de datos tampoco se emplea en la derivacin de claves adicionales. PFS slo se aplica en el intercambio de claves autenticadas. Consulte tambin protocolo de Diffie-Hellman.
PHB (Per-Hop Behavior, comportamiento por salto) pila pila de IP pila de protocolos pila doble PKI
Prioridad que se asigna a una clase de trfico. PHB indica la prioridad que tienen los flujos de datos de esa clase respecto a otras clases de trfico.
Consulte pila de IP. TCP/IP se suele denominar "pila". Este trmino designa las capas (TCP, IP y en ocasiones otras) a travs de las cuales se transfieren todos los datos en los extremos de cliente y servidor de un intercambio de datos. Consulte pila de IP. Pila de protocolo TCP/IP con IPv4 e IPv6 en la capa de red; el resto de la pila permanece idntico. Si al instalar el sistema operativo Solaris se habilita IPv6, el sistema recibe la versin de pila doble de TCP/IP. Siglas en ingls de Public Key Infrastructure, infraestructura de clave pblica. Sistema de certificados digitales, autoridades de certificacin y otras autoridades de registro que verifican y autentican la validez de cada parte que interviene en una transaccin por Internet. Valor de 3 bits que implementa marcas de CoS (Class-of-Service, clase de servicio), que definen la forma en que los datagramas de Ethernet se reenvan en una red de dispositivos VLAN. Tambin se lo denomina "criptografa de claves pblicas". Se trata de un protocolo de claves criptogrficas asimtricas que desarrollaron Diffie y Hellmann en 1976. Este protocolo permite a dos usuarios intercambiar una clave secreta mediante un medio no seguro, sin ningn otro secreto. El protocolo IKE utiliza el de Diffie-Hellman. Valor de 6 bits que, al incluirse en el campo DS o un encabezado IP, indica la manera en que se reenva un paquete. Funcin que permite volver a configurar un sistema aunque est ejecutndose, sin apenas afectar o sin afectar en absoluto a los procesos que estn en curso. No todas las plataformas de Sun admiten DR. Es posible que algunas plataformas de Sun slo admitan DR de determinados tipos de hardware como NIC. Proceso de recuperar la conexin del acceso a la red de una interfaz cuya reparacin se ha detectado. Cualquier otra red que no sea la red principal del nodo mvil. Red cuyo prefijo coincide con el prefijo de red de una direccin permanente de nodo mvil.
prioridad de usuario protocolo de Diffie-Hellman
punto de cdigo DS (DS codepoint) reconfiguracin dinmica (DR) recuperacin tras los errores red externa red principal
red privada virtual Una sola red lgica y segura que emplea tneles en una red pblica como Internet. (VPN)
928
servidor proxy
red virtual
Se trata de una combinacin de recursos de red de software y hardware y de funciones que se administran de manera conjunta como una nica entidad de software. Una red virtual interna consolida los recursos de red en un nico sistema, el cual en ocasiones se denomina red en una caja. En un encaminador, proceso para informar a un host sobre un primer salto ms apropiado para llegar a un determinado destino. Proceso segn el cual un nodo mvil registra su direccin de auxilio con su agente interno y agente externo cuando no se encuentra en su ubicacin permanente. En IPsec, ataque en el cual un intruso se apropia de un paquete. El paquete almacenado sustituye o repite el original posteriormente. Para protegerse contra tales ataques, un paquete puede contener un campo que se incremente durante la vida til de la clave secreta que protege el paquete. Accin que se realiza como consecuencia de la medicin del trfico. Los medidores de IPQoS tienen tres resultados, rojo, amarillo y verde, que se definen en el archivo de configuracin de IPQoS. Sistema que en general tiene ms de una interfaz, ejecuta protocolos de encaminamiento y reenva paquetes. Un sistema se puede configurar con una sola interfaz como encaminador si el sistema es el punto final de un vnculo PPP. Mtodo para la obtencin de firmas digitales y criptosistemas de claves pblicas. Dicho mtodo lo describieron sus creadores, Rivest, Shamir y Adleman, en 1978. Consulte SA (Security Association). Asociacin que establece las propiedades de seguridad entre un primer host y un segundo.
redireccionar registro repeticin de ataque resultado router (encaminador) RSA SA SA (Security Association) SADB
Siglas en ingls de Security Associations Database, base de datos de asociaciones de seguridad. Tabla en la que se especifican claves y algoritmos criptogrficos. Las claves y los algoritmos se utilizan en la transmisin segura de datos. Consulte protocolo SCTP (Streams Control Transport Protocol). Siglas en ingls de Stream Control Transport Protocol, protocolo de transporte de control del flujo. Protocolo de capas de transporte que brinda comunicaciones relativas a las conexiones de manera parecida a TCP. Adems, SCTP permite varias direcciones permanentes, en que uno de los puntos finales de la conexin puede tener ms de una direccin IP. Elemento que define los criterios de aplicacin en los paquetes de una determinada clase, a fin de seleccionar ese trfico en el flujo de datos de la red. Los selectores se definen en la clusula de filtro en el archivo de configuracin de IPQoS. Cualquier programa o dispositivo que asle la intranet o red de una organizacin particular de Internet, con lo cual queda protegida de intrusiones externas. Un servidor de seguridad puede abarcar filtrado de paquetes, servidores proxy y NAT (Network Address Translation, traduccin de direcciones de red). Servidor que se emplaza entre una aplicacin cliente, por ejemplo un navegador de web, y otro servidor. Se utiliza para filtrar solicitudes, por ejemplo para impedir el acceso a determinados sitios web.
SCTP SCTP
selector
servidor de seguridad (firewall) servidor proxy
929
SHA-1
SHA-1
Siglas en ingls de Secure Hashing Algorithm, algoritmo de hash seguro. El algoritmo funciona en cuaquier tamao de entrada que sea inferior a 264 para generar una sntesis del mensaje. El algoritmo SHA-1 es la entrada de DSA. Acceso no autorizado a redes de equipos; con frecuencia se usa como parte de programas automatizados para tamizar informacin, por ejemplo contraseas de texto no cifrado, de ltima hora. Proceso de los hosts que solicitan encaminadores para la generacin inmediata de anuncios de encaminador, en lugar de hacerlo la prxima vez que se hubiera programado.
sniff solicitud de encaminador
solicitud de vecino Solicitud enviada por un nodo para determinar la direccin de capa de vnculo de un vecino. Asimismo, una solicitud de vecino verifica que se pueda contactar con un vecino mediante una direccin de capa de vnculo almacenada en cach. sondear Accin de abrir un dispositivo asociado con un nombre de interfaz fsica. Al sondear una interfaz, los flujos se configuran para que el protocolo IP pueda utilizar el dispositivo. Utilice el comando ifconfig para sondear una interfaz durante una sesin activa del sistema. Consulte base de datos de directivas de seguridad (SPD). Consulte ndice de parmetros de seguridad. Obtener acceso no autorizado a un equipo mediante el envo de un mensaje con una direccin IP indicando que el mensaje procede de un host de confianza. Para efectuar spoofing en IP, el agresor debe recurrir a una serie de tcnicas para averiguar la direccin IP de un host de confianza; a continuacin, debe modificar los encabezados de paquete para suplantar dicha identidad y simular que los paquetes proceden de ese host. Sistema de cifrado en que el emisor y el receptor de un mensaje comparten una sola clave comn. Esa clave comn se emplea para cifrar y descifrar el mensaje. Las claves simtricas se usan para cifrar la mayor parte de las transmisiones de datos en IPsec. DES constituye un ejemplo de sistema de claves simtricas. En IP para mviles, tabla de agentes internos que asocia una direccin permanente con una auxiliar, incluyendo la vida til de que dispone y el tiempo que se otorga. Tarjeta de adaptador de red que acta como interfaz de una red. Algunas tarjetas de interfaz de red pueden tener varias interfaces fsicas, por ejemplo la tarjeta qfe. TCP/IP (Transmission Control Protocol/Internet Protocol) es el protocolo o lenguaje de comunicaciones bsico de Internet. Tambin se usa como protocolo de comunicaciones en redes privadas (tanto intranets como extranets). Tambin se conoce como NAT (del ingls Network Address Translation). Traduccin de una direccin IP que se utiliza en una red a otra direccin IP conocida en otra red. Se utiliza para limitar la cantidad de direcciones IP globales que se necesitan. Acrnimo en ingls de Triple-Data Encryption Standard. Mtodo de cifrado de claves simtricas. Triple-DES necesita un tamao de clave de 168 bits. Triple-DES tambin se escribe 3DES. La ruta a la que sigue un datagrama cuando se encapsula. Consulte encapsulado.
SPD SPI spoof
symmetric key cryptography (criptografa de clave simtrica) tabla de enlace tarjeta de interfaz de red TCP/IP
traduccin de la direccin de red Triple-DES tnel
930
vnculo IP
tnel bidireccional Tnel capaz de transmitir datagramas en ambos sentidos. tnel de reenvo tnel inverso valor hash vnculo IP Tnel que comienza en el agente interno y termina en la direccin de auxilio del nodo mvil. Tnel que comienza en la direccin de auxilio del nodo mvil y termina en el agente interno. Nmero que se genera a partir de una cadena de texto. Las funciones hash se usan para asegurarse de que no se alteren los mensajes transmitidos. MD5 y SHA-1 son ejemplos de funciones hash de una direccin. Infraestructura o medio de comunicacin que permite a los nodos comunicarse en la capa de vnculo. La capa de vnculo es la inmediatamente inferior a IPv4/IPv6. Ejemplos son las redes Ethernet (simple o con puente) o ATM. Se asignan uno o ms nmeros o prefijos de subred IPv4 a un vnculo IP. No se puede asignar el mismo nmero o prefijo de subred a ms de un vnculo IP. En ATM LANE, un vnculo IP es una sola LAN emulada. Al utilizar ARP, el mbito del protocolo ARP es un solo vnculo IP.
931
932
ndice
Nmeros y smbolos
* (asterisco), comodn en base de datos bootparams, 266 smbolo del sistema >, modo de comando ipseckey, 540
A
opcin -A comando ikecert, 658 comando ikecert certlocal, 620 acceso http a CRL, palabra clave use_http, 637 acctadm comando, para el control de flujo, 899 acelerar clculos IKE, 602, 647 activar daemons de configuracin de red, 107 red habilitada para IPv6, 187-188 activar filtro IP de Solaris, en versiones anteriores de Solaris 10, 684-687 actualizar, claves previamente compartidas (IKE), 610-611 acuerdo de nivel de servicio (SLA), 826 clases de servicio, 829 faturacin a clientes, segn el control de flujo, 898 proporcionar diferentes clases de servicio, 828 administracin de claves automtica, 598 IKE, 598 IPsec, 512-513 manual, 591-593
administracin de claves (Continuacin) servicio de manual-key, 513 servicio ike, 513 zonas y, 529 administracin de la red, disear la red, 55 administracin de red nombres de host, 64 Protocolo simple de administracin de red (SNMP), 44 administracin de redes, nmeros de red, 56 administracin del trfico control del flujo, 830 planificar distribuciones de red, 841 priorizar los flujos de trfico, 828 reenvo del trfico, 834, 835, 836 regulacin del ancho de banda, 827 Administrador de DHCP descripcin, 325 detener, 365 funciones, 346 iniciar, 364 mens, 364 ventana y fichas, 362 admisin de ATM, IPv6, en, 314 agente de movilidad, 726, 734 anuncios de encaminador, 758 archivo mipagent_state, 774 configurar, 772 estado, 773 seccin Address, 769 software, 757 agente de reenvo BOOTP, saltos, 380
933
ndice
agente de reenvo de BOOTP configurar con dhcpconfig -R, 359 con el Administrador de DHCP, 354 agente externo admisin de asociacin de seguridad, 733 autenticacin, 748 autenticacin de mensajes, 769 compatibilidad con encapsulado, 735 consideraciones, 734 datagramas, 723 definicin, 724 determinar funcionalidad, 741 direccin de auxilio, 728, 731, 735 funcionar sin, 728 lista de visitantes, 753, 773 mensaje de registro, 726 registrar mediante uso, 731 registrarse con varios, 731 registrarse mediante, 731 servir a nodos mviles, 727 solciitar servicio de, 734 transmitir solicitud de registro, 733 agente interno admisin de asociacin de seguridad, 733 anular registro, 731 asignaciones de direcciones dinmicas, 766 autenticacin, 748 binding table, 773 consideraciones, 734 descubrimiento dinmico, 735 determinar funcionalidad, 741 encapsulado, 735 entrega de datagrama, 723 implementacin, 757 informacin de estado, 774 mensaje de registro, 726, 731 proteccin de repeticin de mensajes, 766 reenviar datagramas, 736 respuesta de registro, 734 seccin Address, 769 solicitud de registro, 733, 734 tabla de enlace, 753, 754 ubicacin de nodos mviles, 726
934
agregaciones configuraciones con nodo, 171 de extremo a extremo, 172 crear, 174-176 definicin, 170 directiva de equilibrio de la carga, 173 distribuciones bsicas, 171 eliminar interfaces, 178 funciones, 170 modificar, 176-177 requisitos, 174 agregaciones de vnculos, Ver agregaciones agregar certificados autofirmados (IKE), 620 certificados de autoridad de certificacin (IKE), 626-631 certificados de clave pblica (IKE), 626-631 claves manualmente (IPsec), 539-544 claves previamente compartidas (IKE), 613-617 SA IPsec, 531, 539-544 agrupaciones de direcciones anexar, 703-704 configurar, 671-672 descripcin general, 671-672 eliminar, 702-703 ver, 702 ver estadsticas, 707 AH, Ver encabezado de autenticacin (AH) algoritmo de autenticacin DSS, 658 algoritmo de autenticacin MD5, longitud de clave, 541 algoritmo de cifrado 3DES IPsec y, 516 longitud de clave, 541 algoritmo de cifrado AES, IPsec y, 516 algoritmo de cifrado Blowfish, IPsec y, 516 algoritmo de cifrado DES, IPsec y, 516 algoritmo de cifrado RSA, 658 algoritmo de cifrado Triple-DES, IPsec y, 516 algoritmos de autenticacin especificar para IPsec, 593 IKE, 658
ndice
algoritmos de cifrado especificar para IPsec, 593 IPsec 3DES, 516 AES, 516 Blowfish, 516 DES, 516 almacn de claves de softtoken, almacenamiento de claves con metaslot, 597 almacn de claves softtoken almacenamiento de claves con metarranura, 506, 657 almacn de datos de DHCP, descripcin general, 323 almacn de datos DHCP convertir, 434-437 exportar datos, 440 importar datos, 442 modificar datos importados, 443, 444 seleccionar, 339 transferir datos entre servidores, 437-444 almacenamiento de claves almacn de claves softtoken, 506 almacenamiento de claves softtoken, 649 asociaciones de seguridad de ISAKMP, 656 ID de seal a partir de metarranura, 649 SA de IPsec, 523 softtoken, 657 almacenamiento de claves softtoken, almacenamiento de claves con metarranura, 649 almacenar claves IKE en disco, 627, 659 claves IKE en hardware, 602, 648-649 ampliar permiso DHCP, 455 anular registro IP para mviles, 726, 731, 732 anuncio 6to4, 205 anuncio de agente a travs de interfaces dinmicas, 727 IP para mviles, 727 anuncio de encaminador, 450 IP para mviles, 758 IPv6, 296, 297, 300, 302-303 prefijo, 297
anuncios de agente, a travs de interfaces dinmicas, 764 archivo /etc/bootparams, 265 archivo /etc/default/dhcpagent, 456-457 archivo /etc/default/dhcpagent, descripcin, 498 archivo /etc/default/inet_type, 230-231 valor DEFAULT_IP, 290 archivo /etc/default/mpathd, 819 archivo /etc/defaultdomain configuracin de modo de archivos locales, 106 descripcin, 251 eliminar para modo de cliente de red, 109 archivo /etc/defaultrouter configuracin de modo de archivos locales, 106 descripcin, 251 archivo /etc/dhcp/dhcptags convertir entradas, 499 descripcin, 499 archivo /etc/dhcp/eventhook, 465 archivo /etc/dhcp/inittab descripcin, 499 modificar, 431 archivo /etc/dhcp.interfaz, 456 archivo /etc/dhcp.interfaz, descripcin, 498 archivo /etc/dhcp/interfaz.dhc, descripcin, 498 archivo /etc/ethers, 266 archivo /etc/hostname.interfaz configuracin de encaminador, 124 archivo /etc/hostname.interfaz configuracin de modo de cliente de red, 109 configuracin manual, 146, 157 archivo /etc/hostname.interfaz descripcin, 250 archivo /etc/hostname6.interface, colocar en tneles de IPv6, 305 archivo /etc/hostname6.interfaz, sintaxis, 284-285 archivo /etc/hostname6.ip.6to4tun0, 204 archivo /etc/hostname6.ip.tun, 201, 202, 203 archivo /etc/hosts, Ver archivo /etc/inet/hosts archivo /etc/inet/dhcpsvc.conf, 351 archivo /etc/inet/hosts, 530 agregar subredes, 102 archivo inicial, 252, 253 configuracin de modo de archivos locales, 106
935
ndice
archivo /etc/inet/hosts (Continuacin) configuracin de modo de cliente de red, 109 direccin en bucle, 252 formato, 252 archivo /etc/inet/hosts, interfaces de red mltiples, 253 archivo /etc/inet/hosts interfaces de red mltiples, 253 nombre de host, 253 archivo /etc/inet/ike/config certificados autofirmados, 623 certificados de clave pblica, 628, 634 claves previamente compartidas, 607 colocar certificados en hardware, 633 comando ikecert, 657 consideraciones de seguridad, 655 descripcin, 600, 654 ejemplo, 607 archivo /etc/inet/ike/config, entrada de biblioteca PKCS #11, 657 archivo /etc/inet/ike/config palabra clave cert_root, 628, 634 palabra clave cert_trust, 623, 633 palabra clave ignore_crls, 630 palabra clave ldap-list, 637 palabra clave pkcs11_path, 632, 657 palabra clave proxy, 637 palabra clave use_http, 637 parmetros de transmisin, 651 resumen, 603 archivo /etc/inet/ipaddrsel.conf, 240, 285 archivo /etc/inet/ipnodes, 255, 530 archivo /etc/inet/ipsecinit.conf, 589-590 archivo /etc/inet/ndpd.conf, 189, 292 anuncio de 6to4, 274 anuncio de encaminador 6to4, 205 configuracin de direcciones temporales, 193 crear, 189 palabras clave, 280-284, 293 variables de configuracin de interfaz, 281 variables de configuracin de prefijo, 282 archivo /etc/inet/netmasks agregar subredes, 102 configuracin de encaminador, 125
936
archivo /etc/inet/netmasks (Continuacin) editar, 259 archivo /etc/inet/networks, descripcin general, 267 archivo /etc/inet/protocols, 268 archivo /etc/inet/services, ejemplo, 269 archivo /etc/ipf/ipf.conf, Ver filtro IP de Solaris archivo /etc/ipf/ipnat.conf, Ver filtro IP de Solaris archivo /etc/ipf/ippool.conf, Ver filtro IP de Solaris archivo /etc/ipnodes suprimido, 505-507 archivo /etc/netmasks, 259 archivo /etc/nodename descripcin, 251 eliminar para el modo de cliente de red, 109 archivo /etc/nsswitch.conf, 263, 265 cambiar, 264, 265 configuracin de modo de cliente de red, 109 modificaciones, para admisin de IPv6, 312-313 plantillas de servicios de nombres, 264 sintaxis, 264 uso por DHCP, 498 archivo /etc/resolv.conf, uso por DHCP, 498 archivo /net/if_types.h, 800 archivo /var/inet/ndpd_state.interface, 292 archivo de configuracin mipagent.conf, 741, 742, 758, 772 configurar, 740 archivo de registro, vaciar en filtro IP de Solaris, 710 archivo de zona, 209 archivo de zona inversa, 209 archivo defaultdomain configuracin de modo de archivos locales, 106 descripcin, 251 eliminar para modo de cliente de red, 109 archivo defaultrouter configuracin de modo de archivos locales, 106 descripcin, 251 seleccin de protocolo de encaminamiento automtico y, 135 archivo dhcpsvc.conf, 498 archivo dhcptags, 499 archivo/etc/dhcp.interfaz, 450 archivo/etc/hostname6.interfaz, configurar manualmente interfaces, 182-184
ndice
archivo/etc/nsswitch.conf, ejemplos, 264 archivo eventhook, 465 archivo hostname.interfaz configuracin de encaminador, 124 descripcin, 250 archivo hostname.interfaz, en IPMP, 809 archivo hostname6.interfaz, configurar manualmente interfaces, 182-184 archivo hostname6.interfaz, sintaxis, 284-285 archivo hostname6.ip.tun, 201, 202, 203 archivo hosts, 530 archivo ike.preshared, 609, 656 archivo Ike.preshared, ejemplo, 615 archivo inet_type, 230-231 archivo ipaddrsel.conf, 240, 285 archivo ipf.conf, 667-670 Ver filtro IP de Solaris archivo ipnat.conf, 670-671 Ver filtro IP de Solaris archivo ipnodes, 255, 530 archivo ippool.conf, 671-672 Ver filtro IP de Solaris archivo ipsecinit.conf comprobar sintaxis, 531 configurar opciones de tnel, 593 consideraciones de seguridad, 590 descripcin, 523 ejemplo, 589 eliminar omisin IPsec de LAN, 563, 576 objetivo, 517 omitir LAN, 556, 572 proteger el servidor web, 536 proteger servidor web, 534 ubicacin y alcance, 522 archivo ipseckeys, almacenar claves de IPsec, 523 archivo mipagent_state, 774 archivo mpathd, 819-820 archivo ndpd.conf anuncio 6to4, 205 configuracin de direcciones temporales, 193 crear, en un encaminador IPv6, 189 archivo ndpd.conf lista de palabras clave, 280-284 variables de configuracin de interfaz, 281
archivo ndpd.conf (Continuacin) variables de configuracin de prefijo, 282 archivo nodename descripcin, 251 eliminar para el modo de cliente de red, 109 archivo nsswitch.conf, 263, 265 cambiar, 264 configuracin de modo de cliente de red, 109 ejemplos, 264 modificaciones, para admisin de IPv6, 312-313 plantillas de servicio de nombres, 264 sintaxis, 264 archivoike/config, Ver archivo/etc/inet/ike/config archivos IKE archivo ike/config, 524, 600, 603, 654 archivo ike.preshared, 603, 656 directorio crls, 603, 660 directorio ike.privatekeys, 603, 659 directorio publickeys, 603, 659 IPsec archivo ipsecinit.conf, 523, 589-590 archivo ipsecinit.conf f, 523 archivo ipseckeys, 523 archivos de configuracin crear para filtro IP de Solaris, 712-713 ejemplos de filtro IP de Solaris, 666 IPv6 archivo /etc/inet/hostname6.interfaz, 284-285 archivo /etc/inet/ipaddrsel.conf, 285 archivo /etc/inet/ndpd.conf, 281, 282 archivo/etc/inet/ndpd.conf, 280-284 redes TCP/IP archivo /etc/defaultdomain, 251 archivo /etc/defaultrouter, 251 archivo /etc/hostname.interfaz, 250 archivo /etc/nodename, 109, 251 base de datos hosts, 251, 254 base de datos netmasks, 256 archivos de configuracin IPQoS de ejemplo configuracin de dispositivo VLAN, 912 segmento de reconocimiento de colores, 907 servidor de aplicaciones, 876
937
ndice
archivos de configuracin IPQoS de ejemplo (Continuacin) servidor Web "best-effort", 863 servidor Web de nivel alto, 862 archivos de directiva archivo ike/config, 654 archivo ipsecinit.conf, 589-590 archivoike/config, 603 consideraciones de seguridad, 590 archivos de directivaca, archivo ike/config, 524 archivos de registro crear para filtro IP de Solaris, 708-709 ver para filtro IP de Solaris, 709-710 argumento tokens, comandoikecert, 657 arquitectura de seguridad IP, Ver IPsec arrancar, protocolos de arranque de servidores de configuracin de red, 100 asistente Network Wizard de DHCP, 385 asistente para la configuracin de DHCP, descripcin, 350 asociacin de identidad, 448 asociaciones de seguridad generacin de nmeros aleatorios, 600 IKE, 654 IP para mviles, 733 ISAKMP, 599 asociaciones de seguridad (SA) agregar IPsec, 531 base de datos IPsec, 591 crear manualmente, 539-544 IPsec, 512-513, 531 obtener claves para, 537-538 reemplazar SA IPsec, 540 vaciar SA IPsec, 540 asociaciones de seguridad del protocolo de administracin de claves y asociaciones de seguridad de Internet (ISAKMP), ubicacin de almacenamiento, 656 aspectos sobre la seguridad, redes habilitadas para IPv6, 94 asterisco (*), comodn en base de datos bootparams, 266 ATM, compatibilidad con IPMP para, 800 atributo deprecated, comando ifconfig, 786
938
autenticacin de agente externo, 733 autenticacin de agente externo-mvil, 733 autenticacin de agente interno-mvil, 733 autenticacin de mensajes IP para mviles, 733, 767, 769 Autoridad de nmeros asignados de Internet (IANA), servicios de registro, 61
B
base de datos bootparams archivos del servicio de nombres correspondiente, 262 descripcin general, 265 entrada comodn, 266 base de datos de asociaciones de seguridad (SADB), 591 base de datos de directivas de seguridad (SPD) configurar, 588 IPsec, 507, 509 base de datos ethers archivos del servicio de nombres correspondiente, 262 comprobar entradas, 244 descripcin general, 266 base de datos hosts, 251, 254 archivo /etc/inet/hosts archivo inicial, 252, 253 configuracin de encaminador, 124 configuracin de modo de archivos locales, 106 configuracin de modo de cliente de red, 109 direccin en bucle, 252 formato, 252 interfaces de red mltiples, 253 nombre de host, 253 archivos del servicio de nombres correspondiente, 262 cmo afectan los servicios de nombres, 254 comprobar entradas, 244 servicio de nombres cmo afectan, 253 formatos, 261 base de datos ike.privatekeys, 659 base de datos netmasks, 256
ndice
base de datos netmasks (Continuacin) agregar subredes, 102, 106 archivo /etc/inet/netmasks agregar subredes, 102 configuracin de encaminador, 125 editar, 259 archivos del servicio de nombres correspondiente, 262 mscaras de red aplicar a direccin IPv4, 258 crear, 257, 258 descripcin, 257 subredes, 256 base de datos networks archivos del servicio de nombres correspondiente, 263 descripcin general, 267 base de datos protocols archivos del servicio de nombres correspondiente, 263 descripcin general, 268 base de datos publickeys, 659 base de datos services actualizar, para SCTP, 141 archivos del servicio de nombres correspondiente, 263 descripcin general, 269 bases de datos base de datos de asociaciones de seguridad (SADB), 591 base de datos de directivas de seguridad (SPD), 507 base de datos ike/crls, 659, 660 base de datos ike.privatekeys, 657, 659 base de datos ike/publickeys, 658 base de datosike/publickeys, 659 IKE, 656-660 bases de datos de red, 260, 263 archivo nsswitch.conf y, 261, 263, 265 archivos de servicios de nombres correspondientes, 262 arranque DNS y archivos de datos, 261 base de datos bootparams, 265 base de datos ethers comprobar entradas, 244
bases de datos de red, base de datos ethers (Continuacin) descripcin general, 266 base de datos hosts cmo afectan los servicios de nombres, 253 comprobar entradas, 244 descripcin general, 251, 254 servicios de nombres, cmo afectan, 254 servicios de nombres, formatos, 261 base de datos netmasks, 256, 262 base de datos networks, 267 base de datos protocols, 268 base de datos services, 269 cmo afectan los servicios de nombres, 261, 263 BGP, Ver protocolos de encaminamiento biblioteca, PKCS #11, 658 biblioteca PKCS #11, en archivo ike/config, 657 biblioteca PKCS #11 library, especificar ruta, 658 borradores de Internet definicin, 50 SCTP con IPsec, 508
C
clculos acelerar IKE en hardware, 602, 647-648, 648-649 calidad de servicio (QoS), directiva QoS, 826 calidad del servicio (QoS), tareas, 823 cambio de direccin de capa de vnculo, 299-300 Cambio de los parmetros de transmisin de IKE (mapa de tareas), 650 campo CRC (comprobacin de redundancia cclica), 48 campos de encabezado, IPv6, 277 capa de aplicacin ciclo de vida del paquete host de envo, 46 host de recepcin, 49 OSI, 38 TCP/IP, 42, 44 administracin de red, 44 comandos UNIX "r", 43 descripcin, 39, 42 protocolos de encaminamiento, 44
939
ndice
capa de aplicacin, TCP/IP (Continuacin) servicios de archivos, 44 servicios de nombres, 43 servicios TCP/IP estndar, 42, 43 capa de Internet (TCP/IP) ciclo de vida del paquete host de envo, 47 host de recepcin, 48 descripcin, 39, 40 protocolo ARP, 41 protocolo ICMP, 41 protocolo IP, 40 capa de presentacin (OSI), 38 capa de red (OSI), 39 capa de red fsica (TCP/IP), 40, 48 capa de red fsica(TCP/IP), 48 capa de sesin (OSI), 38 capa de transporte ciclo de vida del paquete host de envo, 46, 47 host de recepcin, 49 encapsulado de datos, 46, 47 obtener estado del protocolo de transporte, 223-224 OSI, 38 TCP/IP descripcin, 39, 41 protocolo SCTP, 42, 140-143 protocolo TCP, 41 protocolo UDP, 42 capa de vnculo de datos ciclo de vida del paquete host de envo, 48 estructura, 48 OSI, 39 TCP/IP, 39, 40 capa del vnculo de datos ciclo de vida del paquete host de recepcin, 48 capa fsica (OSI), 39 capas de protocolo ciclo de vida del paquete, 46, 49 modelo de arquitectura de protocolo TCP/IP, 44 capa de aplicacin, 39, 42, 44 capa de Internet, 39, 40
940
capas de protocolo, modelo de arquitectura de protocolo TCP/IP (Continuacin) capa de red fsica, 39, 40 capa de transporte, 39, 41 capa de vnculo de datos, 39, 40 modelo de referencia OSI, 38, 39 capas de protocolos, modelo de arquitectura del protocolo TCP/IP, 39 caractersticas de IPv6, descubrimiento de vecinos, 83 Carga de seguridad encapsuladora (ESP) consideraciones de seguridad, 515 descripcin, 514-515 proteger paquetes IP, 507 Carga de seguridad encapsuladora(ESP), mecanismo de proteccin IPsec, 513-516 certificados agregar a base de datos, 627 almacenar en hardware, 602, 647 IKE, 659 crear autofirmados (IKE), 620 de autoridad de certificacin, 627 de autoridad de certificacin en hardware, 635 descripcin, 627 en archivo ike/config, 633 enumeracin, 622 guardar en equipo, 619 IKE, 601 omitir CRL, 630 solicitar de autoridad de certificacin, 626 en hardware, 632 certificados de claves pblicas, Ver certificados cifrado, Ver algoritmos de cifrado clases, 829 definir, en el archivo de configuracin IPQoS, 874, 878 selectores, lista de, 904 sintaxis de la clusula class, 919 clases de red, 61 asignacin de nmero de red de la IANA, 61 clase A, 271 clase B, 271, 272
ndice
clases de red (Continuacin) clase C, 272 esquema de direcciones, 60, 61 rango de nmeros disponibles, 61 clases de redes, administracin de nmeros de red, 56 clases de servicio, Ver clases clusula class, del archivo de configuracin IPQoS, 866 clusula class, en el archivo de configuracin IPQoS, 919 clusula filter, del archivo de configuracin IPQoS, 867 clusula filter, en el archivo de configuracin IPQoS, 919 clusula params de un marcador action, 869 de una accin flowacct , 872 definir estadsticas globales, 865, 920 para una instruccin action de medicin, 884 sintaxis, 920 claves administracin automtica, 598 administracin manual, 591-593 administrar IPsec, 512-513 almacenar (IKE) certificados, 659 claves pblicas, 659 privadas, 657 almacenar en hardware, 602 base de datos ike.privatekeys, 659 base de datosike/publickeys, 659 generar nmeros aleatorios para, 537-538 previamente compartidas (IKE), 600 claves previamente compartidas (IKE) almacenar, 656 compartidas con otras plataformas, 610 descripcin, 600 mapa de tareas, 606 reemplazar, 610-611 claves previamente compartidas (IPsec), crear, 539-544 claves privadas, almacenar (IKE), 657 claves pblicas, almacenar (IKE), 659 cliente DHCP abandonar direccin IP, 456
cliente DHCP (Continuacin) activar, 453-454 administracin, 455 ampliar permiso, 455 cerrar, 453 configuracin incorrecta, 485 definicin, 331 desactivar, 454 desconfigurar, 454 ejecutar en modo de depuracin ejemplo de salida, 478 ejeuctar programas con, 464-467 en sistemas de cliente sin disco, 432 generacin de nombre de host, 342 ID de cliente, 398 informacin de opcin, 431 informacin de red sin permiso, 434, 455 iniciar, 455 inicio, 450 interfaces lgicas, 457 liberar direccin IP, 455 mostrar estado de interfaz, 456 nombre de host especificar, 459 parmetros, 456-457 probar interfaz, 456 secuencias de eventos, 464-467 servicios de nombres, 379 solucin de problemas, 475 varias interfaces de red, 457 cliente DHCPv4, gestin de interfaz de red, 451 cliente DHCPv6, gestin de la interfaz de red, 452 clientes de red base de datos ethers, 266 configuracin de host, 109 servidor de configuracin de red para, 100, 107 sistemas que funcionan como, 101 clientes sin disco, compatibilidad de DHCP, 432 comando command, verificar proteccin de paquetes, 544-545 comando /usr/sbin/6to4relay, 207 comando /usr/sbin/ping, 230 descripcin, 228 ejecutar, 230
941
ndice
comando /usr/sbin/ping (Continuacin) sintaxis, 228, 229 comando 6to4relay, 207 definicin, 287 ejemplos, 287 sintaxis, 287 tareas de configuracin de tnel, 207 comando acctadm, para control de flujo, 831, 915 comando dhcpconfig descripcin, 326, 489 comando dhcpinfo, descripcin, 490 comando dhcpmgr, descripcin, 490 comando dhtadm crear macros con, 419 crear opciones, 425 descripcin, 326, 489 eliminar macros con, 421 eliminar opciones, 430 modificar macros con, 414 modificar opciones con, 428 comando dladm configurar una VLAN, 168-169 eliminar interfaces de una agregacin, 178 mostrar estado, 155 para comprobar el estado de agregacin, 175 para crear una agregacin, 174 para modificar una agregacin, 177 comando gethostbyname, 313 comando getipnodebyname, 313 comando ifconfig, 305, 666 atributo deprecated, 786 comprobar el orden de los mdulos STREAMS, 800 configurar tneles de IPv6, 289-290 controlar el cliente DHCP, 455 DHCP y, 490 extensiones 6to4, 205 extensiones de IPv6, 288 extensiones IMPM a, 780 formato de resultado, 217 informacin de resultado, 218 mostrar grupo IPMP, 812 opcin de seguridad auth_algs, 593-594 opcin de seguridad encr_algs, 594
942
comando ifconfig (Continuacin) opcin de seguridad encr_auth_algs, 594 opcin failover, 785 opciones de seguridad de IPsec, 593-594 parmetro group, 801, 814 parmetro standby, 787, 809 parmetro test, 801 sintaxis, 217 usar como herramienta de resolucin de problemas, 243 visualizar estado de interfaz, 217, 220, 788 comando ikeadm descripcin, 654, 655-656 nivel de privilegio comprobar, 611 nivel de privilegios comprobar, 612 comando ikecert descripcin, 654, 656 opcin -A, 658 opcin -a, 632 opcin -T, 632, 658 opcin -t, 658 comando ikecert certdb opcin -a, 621, 627 comando ikecert certlocal opcin -kc, 626 opcin -ks, 620 comando ikecert certrldb, opcin -a, 637 comando ikecert tokens, 649 comando ipaddrsel, 240, 285-287 comando ipf Ver tambin filtro IP de Solaris anexar reglas desde lnea de comandos, 696-697 opcin -a, 694-695 opcin -D, 683 opcin -E, 679-680 opcin -F, 682, 694-695, 695-696, 699 opcin -f, 679-680, 694-695, 696-697, 697-698 opcin -I, 697-698, 699 opcin -s, 698-699 opcin -6, 674-675 comando ipfstat, 704-705 Ver tambin filtro IP de Solaris
ndice
comando ipfstat (Continuacin) opcin -I, 693-694 opcin -i, 693 opcin -o, 693 opcin -s, 705-706 opcin -t, 704-705 comando ipfstat, opcin -6, 674-675 comando ipmon Ver tambin filtro IP de Solaris IPv6 y, 674-675 opcin -a, 709-710 opcin -F, 710 opcin -o, 709-710 comando ipnat Ver tambin filtro IP de Solaris anexar reglas desde lnea de comandos, 701-702 opcin -C, 683 opcin -F, 683, 700-701 opcin -f, 679-680, 701-702 opcin -l, 700 opcin -s, 706-707 comando ippool Ver tambin filtro IP de Solaris anexar reglas desde lnea de comandos, 703-704 IPv6 y, 674-675 opcin -F, 702-703 opcin -f, 703-704 opcin -l, 702 opcin -s, 707 comando ipqosconf aplicar una configuracin, 890, 891 listado de la configuracin actual, 891 opciones de comando, 920 comando ipsecconf configurar directiva IPsec, 588-589 configurar tneles, 518 consideraciones de seguridad, 533, 590 descripcin, 523 objetivo, 517 opcin -a, 533 opcin -f, 533 visualizar directiva IPsec, 533-536, 537, 589-590 comando ipseckey consideraciones de seguridad, 592-593
comando ipseckey (Continuacin) descripcin, 523, 591-593 finalidad, 513 modo interactivo, 540 objetivo, 513 comando mipagentconfig configurar agente de movilidad, 772 descripcin de comandos, 772 modificar archivo de configuracin, 746 seccin Address, 749 seccin Advertisements, 747 seccin General, 746 seccin GlobalSecurityParameters, 748 seccin Pool, 748 seccin SPI, 749 comando mipagentstat estado de agente de movilidad, 773 mostrar estado de agente, 753-754 comando ndd, ver mdulo pfil y, 690-691 comando netstat descripcin, 221 ejecutar comprobaciones de software, 244 extensiones de IP para mviles, 774-775 extensiones de IPv6, 290 opcin -a, 225 opcin -f, 225 opcin -r, 227-228 opcin inet, 225 opcin inet6, 225 sintaxis, 221 visualizar estadsticas por protocolo, 222 visualizar estado de rutas conocidas, 227-228 comando nisaddcred, y DHCP, 472 comando nischmod, y DHCP, 471 comando nisls, y DHCP, 471 comando nisstat, y DHCP, 470 comando nslookup, 314 IPv6, 211 comando od, 609 comando ping, 230 descripcin, 228 ejecutar, 230 extensiones de IPv6, 291
943
ndice
comando ping (Continuacin) opcin -s, 229 sintaxis, 228, 229 comando pntadm descripcin, 327, 489 ejemplos, 395 usar en secuencias, 490 comando rlogin, proceso del paquete, 46 comando route IPsec, 558, 560, 568, 569, 574, 575, 581, 582 opcin inet6, 291 comando routeadm activar encaminamiento dinmico, 125, 138 configuracin de encaminador IPv6, 189 comando Routeadm, configurar VPN con IPsec, 576 comando routeadm hosts mltiples, 132 reenvo de IP, 555 comando snoop comprobar flujo de paquetes, 235 comprobar paquetes entre servidor y cliente, 238 extensiones de IP para mviles, 775 extensiones de IPv6, 291 palabra clave de protocolo ip6, 291 supervisar frfico de IPv6, 238-239 supervisar trfico DHCP, 477-478 ejemplo de salida, 482 visualizar contenido de paquetes, 235 visualizar paquetes protegidos, 593, 594 comando svcadm actualizar IKE, 616 desactivar servicios de red, 555, 566, 571 reiniciar directiva IPsec, 616 comando sys-unconfig y cliente DHCP, 454 comando traceroute definicin, 233-235 extensiones de IPv6, 291 seguimiento de rutas, 234-235 comandos IKE, 656-660 comando ikeadm, 603, 654, 655-656 comando ikecert, 603, 654, 656 daemon in.iked, 654
944
comandos (Continuacin) IPsec comando in.iked, 513 comando ipsecalgs, 516, 590-591 comando ipsecconf, 523, 533, 588-589 comando ipseckey, 523, 540, 591-593 comando snoop, 593, 594 consideraciones de seguridad, 592-593 lista, 522-524 comandos "r", en UNIX, 43 comandos UNIX "r", 43 comodines en base de datos bootparams, 266 comportamiento por salto (PHB), 834 definir, en el archivo de configuracin IPQoS, 885 reenvo AF, 835 reenvo EF, 835 utilizar, con el marcador dscpmk, 909 comprobacin de redundancia cclica (CRC), campo, 48 comprobar archivos de configuracin IPsec sintaxis, 506 comunicaciones de datos, 45, 49 ciclo de vida del paquete, 46, 49 comunicaciones de host a host, 40 comunicaciones inalmbricas IP para mviles, 723, 728, 737 conectar una interfaz, 163 conectividad, informes de errores del protocolo ICMP, 41 confidencialidad directa perfecta (PFS) descripcin, 599 IKE, 598 configuracin automtica de direcciones definicin, 83, 84-85 habilitar, en un nodo de IPv6, 183, 184, 186 IPv6, 292, 296 configuracin automtica de direcciones sin estado, 297 configuracin de cliente, 446 configuracin de conmutador en una topologa de agregacin, 171 protocolo de control de agregacin de vnculos (LACP), 173
ndice
configuracin de conmutador (Continuacin) protocolo de control de agregacin de vnculos (LACP) modos, 177 configuracin de encaminador 6to4 ejemplos, 206 tareas, 204 Configuracin de IKE (mapa de tareas), 605 Configuracin de IKE con certificados de clave pblica (mapa de tareas), 618 Configuracin de IKE con claves previamente compartidas (mapa de tareas), 606 Configuracin de IKE para buscar el hardware conectado (mapa de tareas), 646 Configuracin de IKE para sistemas porttiles (mapa de tareas), 638 configuracin de interfaz activa-activa, IPMP, 788 configuracin de interfaz activa-reserva, IPMP, 788 configuracin de nodos, en una configuracin VLAN, 165 configuracin de pseudo-interfaz 6to4, 204 configuracin de red configurar clientes de red, 108 servicios, 139 configurar seguridad, 503 encaminador, 122 encaminador IPv6, 188 instalacin de servidores de configuracin de red, 107 modos de configuracin de host, 99 modos de configuracin de TCP/IP, 101 informacin de configuracin, 99 modo de cliente de red, 101 servidores de configuracin de red, 100 modos de configuracin TCP/IP modo de archivos locales, 100 salto, descripcin, 115 tareas de configuracin de red IPv4, 104 topologa de red IPv4, 101 configuracin de redes habilitar IPv6 en un host, 191-199 hosts con varias direcciones permanentes habilitados para IPv6, 182-184
configurar agrupaciones de direcciones, 671-672 archivo ike/config, 654 archivo ipsecinit.conf, 589-590 archivos de configuracin TCP/IP, 249 archivo /etc/defaultdomain, 251 archivo /etc/defaultrouter, 251 archivo /etc/hostname.interfaz, 250 archivo /etc/nodename, 109, 251 base de datos hosts, 251, 254 base de datos netmasks, 256 cliente DHCP, 445 encaminadores, 269 descripcin general, 122 interfaces de red, 122, 125 encaminadores habilitados para IPv6, 188 IKE, 605 IKE con certificados autofirmados, 619-625 IKE con certificados de autoridad de certificacin, 626-631 IKE con certificados de clave pblica, 618, 619-625 IKE con certificados en hardware, 631-635 IKE con sistemas porttiles, 638-646 interfaces manualmente, para IPv6, 182-184 IPsec, 588-589 IPsec en LAN, 563, 576 modos de configuracin de TCP/IP configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 107 modo de cliente de red, 109 redes TCP/IP archivo nsswitch.conf, 263, 265 archivos de configuracin, 249 bases de datos de red, 260, 263, 265 clientes de red, 108 modos de archivos locales, 107 requisitos previos, 98 servicios TCP/IP estndar, 139 reglas de filtros de paquetes, 667-670 reglas NAT, 670-671 seguridad de red con un rol, 545-547 servicio DHCP, 349 servidor de configuracin de red, 107
945
ndice
configurar (Continuacin) VPN en modo transporte con IPsec, 570-577 VPN en modo tnel con IPsec, 549, 554-564 VPN protegida con IPsec, 554-564 conjunto de protocolo TCP/IP modelo de arquitectura de protocolo TCP/IP capa de Internet, 39 capa de red fsica, 39 capa de transporte, 39 capa de vnculo de datos, 39 servicios estndar, 139 conjunto de protocolos TCP/IP admisin de seguimiento interno, 49 comunicaciones de datos, 45, 49 encapsulado de datos, 45, 49 descripcin general, 37, 38 informacin adicional, 49 FYI, 50 manuales, 49 modelo de arquitectura de protocolo TCP/IP, 44 capa de aplicacin, 39, 42, 44 capa de Internet, 40 capa de red fsica, 40 capa de transporte, 41 modelo de arquitectura de TCP/IP capa de vnculo de datos, 40 modelo de arquitectura del protocolo TCP/IP, 39 modelo de referencia OSI, 38, 39 protocolos de pila doble, 90 visualizar estadsticas, 222 conjuntos de reglas Ver Vase filtro IP de Solaris filtros de paquetes, 667-672 inactivos Ver tambin filtro IP de Solaris NAT, 670-671 conjuntos de reglas activos, Ver filtro IP de Solaris conjuntos de reglas inactivos, Ver filtro IP de Solaris conmutacin por error definicin, 782 ejemplos, 791 interfaz de reserva, 787 reconfiguracin dinmica (DR) y, 794
946
consideraciones de seguridad archivo ike/config, 654 archivo ipsecinit.conf, 590 archivoipseckeys file, 542 Carga de seguridad encapsuladora (ESP), 515 claves previamente compartidas, 601 comando ipsecconf, 590 comando ipseckey, 592-593 configurar IKE con certificados, 619 IKE con claves previamente compartidas, 607 IKE para buscar hardware, 632 IPsec, 530 parmetros de transmisin de IKE, 651 cuestiones de encaminador de reenvo 6to4, 246 encabezado de autenticacin (AH), 515 IP para mviles, 737-738 protocolos de seguridad, 515 sockets bloqueados, 590 control de flujo, 897, 913 tabla de registro de flujo, 914 control del flujo, mediante los mdulos de medicin, 830 conversin de binario a decimal, 258 conversin de decimal a binario, 258 convertir almacn de datos DHCP, 434-437 creacin de directorio /tftpboot, 107 crear certificados autofirmados (IKE), 620 ndice de parmetros de seguridad (SPI), 538 macros DHCP, 419 manifiesto SMF especfico del sitio, 583-586 opciones DHCP, 425 rol relativo a seguridad, 545-547 SA IPsec, 531, 539-544 solicitudes de certificados, 626 crear archivo, ipsecinit.conf, 530 crear tneles, 724, 738 CRL acceder desde ubicacin central, 636 base de datos ike/crls, 660 comando ikecert certrldb, 659 enumerar, 636 omitir, 630
ndice
cumplimiento del trfico definir, 884 parmetros de tasa, 906 parmetros de tasas, 906 planificacin tasas en la directiva QoS, 851 planificar resultados en la directiva QoS, 851 resultados, 830, 906
D
daemon /usr/sbin/in.routed descripcin, 270 modo de ahorro de espacio, 270 daemon /usr/sbin/inetd comprobar el estado de inetd, 244 servicios iniciados por, 139 daemon dhcpagent, 450 archivo de parmetros, 498 modo de depuracin, 476-477 daemon in.dhcpd, 326 descripcin, 490 modo de depuracin, 477 daemon in.iked activar, 654 descripcin, 598 detener e iniciar, 533, 611 nivel de privilegio comprobar, 611 opcin -c, 608 opcin -f, 608 daemon in.mpathd definicin, 780-781 destinos de sondeo, 789 velocidad de sondeo, 780 daemon in.ndpd comprobar el estado, 244 crear un registro, 232-233 opciones, 292 daemon in.rarpd, 100 daemon in.ripngd, 189, 293 daemon in.routed, 137 crear un registro, 231-232
daemon in.routed (Continuacin) descripcin, 270 modo de ahorro de espacio, 270 daemon in.telnet, 43 daemon in.tftpd activar, 107 descripcin, 100 daemon inetd administrar servicios, 260 daemon inetd, comprobar el estado, 244 daemon inetd servicios de IPv6, 293-295 servicios iniciados por, 139 daemon IPMPin.mpathd, 780-781 daemon mipagent, 741, 758, 774 daemon rpc.bootparamd, 100 daemons daemon de encaminamiento in.routed, 137 daemon in.iked, 598, 603 daemon in.mpathd, 780-781 daemon in.ndpd, 292 daemon in.ripngd, 189, 293 daemon in.tftpd, 107 in.iked daemon, 654 protocolos de arranque de servidores de configuracin de red, 100 servicios de Internet inetd, 260 datagrama encapsulado, IP para mviles, 724 datagramas encabezado IP, 48 formato de protocolo IP, 40 funciones de protocolo UDP, 42 IP, 507 proceso de paquetes, 48 datagramas de multidifusin, IP para mviles, 736 datagramas IP encabezado IP, 48 formato de protocolo IP, 40 funciones de protocolo UDP, 42 proceso de paquetes, 48 proteger con IPsec, 507 desactivar filtro IP de Solaris, 683, 689-690 descubrimiento de agentes, IP para mviles, 727-728 descubrimiento de encaminador, en IPv6, 297, 300
947
ndice
descubrimiento de encaminadores, en IPv6, 83, 292 descubrimiento de prefijos, en IPv6, 83 destinos de sondeo, daemon in.mpathd, 784 deteccin de direcciones duplicadas algoritmo, 298 IPv6, 83 servicio DHCP, 380 deteccin de fallos, en IPMP, 788 definicin, 782 NIC que no estaban al arrancar el sistema, 795 velocidad de sondeo, 780 deteccin de fallos basada en sondeos configurar sistemas de destino, 805-807 Deteccin de fallos basada en sondeos, definicin, 789-790 deteccin de fallos basada en sondeos destinos de sondeo, 789 trfico de sondeos, IPMP, 784 deteccin de fallos basada en vnculos, definicin, 788-789 deteccin de fallos basados en sondeos, tiempo de deteccin de fallos, 790 deteccin de inasequibilidad de vecinos IPv6, 83, 298, 301 deteccin de reparaciones, con IPMP, 782, 790 determinacin de salto siguiente, IPv6, 83 DHCP Configuration Wizard, para agente de reenvo de BOOTP, 355 DHCPv4 y DHCPv6, 446 DHCPv6, nombre de cliente, 447 DHCPv6 y DHCPv4, 446 direccin 6to4 direccin de host, 275 formato, 274 direccin de auxilio adquirir, 728 agente externo, 728, 731, 734 agentes de movilidad, 723 compartir, 728 coubicada, 726, 728, 733, 736 informacin de estado, 774 IP para mviles, 722 registro de nodos mviles, 731 ubicacin del nodo mvil, 724
948
direccin de auxilio coubicada, 726, 733, 736 obtener, 728 direccin de control de acceso a medios, Ver direccin MAC direccin de difusin, 767 direccin DHCP inutilizable, 399 direccin en bucle, 109, 252 direccin Ethernet, Ver direccin MAC direccin IP direccin IP de origen, 735, 736 etiqueta BaseAddress, 767 nodo mvil, 724, 733 direccin local de vnculo como direccin de prueba IPMP, 785 configuracin manual, con un token, 198 formato, 81-82 direccin local de vnculo IPv6, con IPMP, 785 direccin MAC, 447 asignar a IP en base de datos ethers, 266 comprobar exclusividad, 160-161 ID de interfaz de IPv6, 81 requisitos de IPMP, 783 utilizada en ID de cliente de DHCP, 330 direccin permanente, 722, 723, 724 direccin temporal, en IPv6 configurar, 193-195 definicin, 192-195 direcciones direccin en bucle, 252 direcciones de datos, IPMP, 784 direcciones de prueba, IPMP, 784-785 direcciones Ethernet base de datos ethers, 262, 266 formato 6to4, 274 formato CIDR, 59 formato IPv4, 59 IPv6, formato 6to4, 204 locales de vnculo IPv6, 81-82 mscara de red IPv4, 257 mostrar direcciones de todas las interfaces, 220 multidifusin, en IPv6, 276-277 seleccin de direcciones predeterminadas, 239-242 temporales, in IPv6, 192-195 unidifusin global IPv6, 80-81
ndice
direcciones de datos, IPMP, definicin, 784 direcciones de difusin por proximidad, 207 definicin, 83 direcciones de prueba, IPMP configuracin IPv6, 802 configurar en una interfaz de reserva, 809 IPv4, 802 definicin, 784 evitar uso por parte de aplicaciones, 786 interfaz de reserva, 787 requisitos de IPv4, 785 requisitos de IPv6, 785 trfico de sondeos y, 784 direcciones DHCP no utilizables, 406 direcciones Ethernet, Ver base de datos ethers direcciones IP asignacin con DHCP, 341 clases de redes administracin de nmeros de red, 56 DHCP agregar, 399 eliminar, 406 errores, 473 inutilizables, 406 modificar propiedades, 403 propiedades, 396 reservar para cliente, 409 tareas, 395 disear el esquema de direcciones, 55 disear un esquema de direcciones, 63 funciones del protocolo IP, 40 interfaces de red y, 63 mostrar direcciones de todas las interfaces, 220 problemas de subred, 258 direcciones IPv4 aplicar mscaras de red, 258 asignacin de nmero de red de la IANA, 61 clases de red, 61 clase A, 271 clase B, 271, 272 clase C, 272 esquema de direcciones, 60, 61
direcciones IPv4 (Continuacin) formato, 58 formato de decimales con puntos, 59 nombres simblicos para nmeros de red, 259 nmero de subred, 61 partes, 61 rango de nmeros disponibles, 61 subredes, 256 direcciones IPv6 configuracin automtica de direcciones, 83, 84-85 difusin por proximidad, 83 ejemplo de uso de VPN con IPsec, 564-570 exclusividad, 297 ID de interfaz, 81 locales de vnculo, 81-82 multidifusin, 82 resolucin de direcciones, 83 unidifusin, 80-81 direcciones locales de sitio, IPv6, 85 direcciones locales de vnculo IPv6, 297, 301, 305 direcciones multidifusin, IPv6 comparacin con direcciones de emisin, 300 descripcin general, 82 formato, 276-277 direcciones privadas, IP para mviles, 729-730 directiva de seguridad archivo (IPsec) ipsecinit.conf, 589-590 archivo ike/config (IKE), 524 Directiva de seguridad, archivo ipsecinit.conf (IPsec), 530 directiva de seguridad IPsec, 517 directiva IPsec datagramas IP en IP, 505-507 ejemplo de LAN, 563 ejemplo de tneles en modo transporte, 576 ejemplo de uso de sintaxis no admitida, 576-577 ejemplos de sintaxis de tnel, 549-551 especificar, 567, 579 directiva QoS, 826 crear filtros, 848 implementar, en el archivo de configuracin IPQoS, 859
949
ndice
directiva QoS (Continuacin) mapa de tareas de planificacin, 844 plantilla para organizar la directiva, 843 directivas, IPsec, 517 directivas, para agregaciones, 173 directorio /etc/inet/ike/crls, 660 directorio /etc/inet/ike/publickeys, 659 directorio /etc/inet/secret/ike.privatekeys, 659 directorios certificados (IKE), 659 claves previamente compartidas (IKE), 656 claves privadas (IKE), 657 claves pblicas (IKE), 659 directorios /etc/inet/publickeys, 659 /etc/inet, 603 /etc/inet/ike, 603 /etc/inet/secret, 603 /etc/inet/secret/ike.privatekeys, 657 disear la red descripcin general, 55 esquema de direcciones IP, 55, 63 nombres de hosts, 64 seleccin de nombre de dominio, 65 subredes, 256 dispositivos de LAN virtual (VLAN) en una red IPQoS, 911 distribuciones de red para IPQoS, 840 ejemplo de configuracin, 856 Red LAN con conjuntos de servidores con IPQoS, 841 red LAN con cortafuegos con IPQoS, 842 Red LAN con hosts con IPQoS, 841
E
EGP, Ver protocolos de encaminamiento ejemplo de red de IPQoS, 861 eliminar opciones DHCP, 430 SA IPsec, 540 encabezado de autenticacin (AH) consideraciones de seguridad, 515 mecanismo de proteccin IPsec, 513-516 proteger datagrama IP, 514
950
encabezado de autenticacin (AH) (Continuacin) proteger paquetes IP, 507 encabezado de paquetes encabezado IP, 48 funciones de protocolo TCP, 41 encaminador con Diffserv evaluacin de puntos de cdigo DS, 910 planificar, 845 encaminador de lmite, 120 encaminador de lmite de sistema, en ubicacin 6to4, 309 encaminador de reenvo, configuracin de tnel 6to4, 207, 208 encaminador de reenvo 6to4 cuestiones de seguridad, 246, 310-312 tareas de configuracin de tnel, 207, 208 topologa de tnel, 311 encaminador de reenvo de paquetes, 121 encaminador de rel de 6to4, en un tnel de 6to4, 287 encaminador predeterminado definicin, 121 ejemplo de configuracin, 126 encaminadores agregar, 66, 69 archivo /etc/defaultrouter, 251 configuracin de modo de archivos locales, 106 configurar, 269 interfaces de red, 125 IPv6, 188 definicin, 115, 122, 269 direccin predeterminada, 104 direcciones para clientes DHCP, 341 encaminador de reenvo de paquetes, 121 encaminadores predeterminados, 121 encaminamiento dinmico, 137 encaminamiento esttico, 135 funcin, en topologa 6to4, 308 lmite, 120 problemas al actualizar a IPv6, 245 protocolos de encaminamiento descripcin, 44, 269, 270 seleccin automtica, 125 topologa de red, 66, 67 transferencia de paquetes, 68, 69
ndice
encaminamiento configuracin de tabla de encaminamiento, 129 configurar esttico, 134 configurar manualmente una tabla de encaminamiento, 127 definicin, 115 en hosts de interfaz nica, 134 en hosts mltiples, 131 encaminamiento dinmico, 128 encaminamiento esttico, 128 IPv6, 302 portal, 127 ruta directa, 115 ruta indirecta, 115 encaminamiento de datagramas de multidifusin, IP para mviles, 736-737 encaminamiento de datagramas de unidifusin, IP para mviles, 735-736 encaminamiento dinmico, 137 configurar en un host de interfaz nica, 137 ejemplo de configuracin de host, 138 uso recomendado, 128 encaminamiento esttico, 135, 251 agregar una ruta esttica, 127, 129-130 configurar manualmente en un host, 134 ejemplo de configuracin, 130 ejemplo de configuracin de host, 136 uso recomendado, 128 encapsulado de datos definicin, 45 pila de protocolo TCP/IP y, 45, 49 enlace de movilidad, 731, 733, 734, 736 enlaces de filtros de paquetes, 673 entrada /opt/SUNWconn/lib/libpkcs11.so, en archivo ike/config, 657 enumeracin, certificados (IPsec), 622 enumerar algoritmos (IPsec), 515, 594 certificados (IPsec), 636 CRL (IPsec), 636 hardware (IPsec), 649 ID de seal a partir de metarranura, 649 ID de smbolo (IPsec), 649 envoltorios, TCP, 143
envoltorios TCP, activar, 143 equilibrio de carga, en una red habilitada para IPv6, 299 equilibrio de la carga en una red con IPQoS, 841 entre agregaciones, 173 equilibrio de la carga entrante, 299 equipos, proteger comunicacin, 529-533 ESP, Ver Carga de seguridad encapsuladora (ESP) estadsticas por protocolo (netstat), 222 transmisin de paquetes (ping), 229, 230 estadsticas de estado, ver, 705-706 estadsticas de IPQoS activacin de las estadsticas globales, 919 activar estadsticas basadas en clases, 919 activar estadsticas globales, 865 generar, con el comando kstat, 900 estructura capa de vnculo de datos, 40, 48 descripcin, 48 estructura criptogrfica de Solaris, IPsec y, 590-591 estructura del Gestor de coordinacin de reconfiguracin (RCM), 794 /etc/hostnameinterfaz, configuracin de modo de archivos locales, 105 etiqueta AdvertiseOnBcast, 742, 764 etiqueta AdvFrequency, 742, 765 etiqueta AdvInitCount, 765 etiqueta AdvLifetime, 742, 747, 765 etiqueta AdvLimitUnsolicited, 765 etiqueta BaseAddress, 743, 767 etiqueta Challenge, 743, 766 etiqueta ForeignAgent, 742, 752, 764 etiqueta HA-FAauth, 743, 748, 766 etiqueta HomeAgent, 742, 752, 764 etiqueta Key, 744, 749, 768 etiqueta KeyDistribution, 743, 766 etiqueta MaxClockSkew, 743, 766 etiqueta MN-FAauth, 743, 766 etiqueta Pool, 744, 749, 771, 772 etiqueta PrefixFlags, 742, 764 etiqueta RegLifetime, 742, 765 etiqueta ReplayMethod, 744, 768
951
ndice
etiqueta ReverseTunnel, 742, 765 etiqueta ReverseTunnelRequired, 742, 765 etiqueta Size, 743, 767 etiqueta SPI, 749, 769, 771, 772 etiqueta Type, 749, 769, 771, 772 etiqueta Version, 742, 763 eventos DHCP, 464-467 evitar falsificacin de IP, manifiesto SMF, 583-586 expansin de carga definicin, 780 saliente, 783
F
fallos de grupo, IPMP, 790 filtro IP, Ver filtro IP de Solaris filtro IP de Solaris activar en versiones anteriores de Solaris 10, 684-687 administracin de conjuntos de reglas de filtros de paquetes, 693-699 agrupaciones de direcciones anexar, 703-704 eliminar, 702-703 ver, 702 agrupaciones de direcciones y, 671-672 archivo /etc/ipf/ipf.conf, 712-713 archivo /etc/ipf/ipf6.conf, 674-675 archivo /etc/ipf/ipnat.conf, 712-713 archivo /etc/ipf/ippool.conf, 712-713 archivo ipf.conf, 667-670 archivo ipf6.conf, 674-675 archivo ipnat.conf, 670-671 archivo ippool.conf, 671-672 comando ifconfig, 666 comando ipf, 679-680 opcin -6, 674-675 comando ipfstat opcin -6, 674-675 comando ipmon IPv6 y, 674-675 comando ipnat, 679-680 comando ippool, 702 IPv6 y, 674-675
952
filtro IP de Solaris (Continuacin) conjunto de reglas activar diferente, 694-695 conjuntos de reglas activos, 693 alternar entre, 698-699 anexar a inactivo, 697-698 anexar al activo, 696-697 eliminar, 695-696 eliminar inactivos, 699 inactivos, 693-694 conjuntos de reglas y, 667-672 crear archivos de registro, 708-709 crear archivos de configuracin, 712-713 desactivar, 683 en una NIC, 689-690 NAT, 683 descripcin general, 662-663 descripcin general de filtros de paquetes, 667-670 directrices para utilizar, 666 ejemplos de archivos de configuracin, 666 eliminar reglas NAT, 700-701 enlaces de filtros de paquetes, 673, 678-679 especificar una NIC, 687-688 filtros en bucle, 680-681 guardar paquetes registrados en un archivo, 711 informacin de cdigo abierto, 663 IPv6, 674-675 mdulo pfil, 673-674 NAT y, 670-671 reglas NAT anexar, 701-702 ver, 700 vaciar archivo de registro, 710 ver archivos de registro, 709-710 estadsticas de estado, 705-706 estadsticas de la agrupacin de direcciones, 707 estadsticas de pfil, 690-691 estadsticas NAT, 706-707 tablas de estado, 704-705 volver a activar, 679-680
ndice
filtros, 830 crear, en el archivo de configuracin IPQoS, 874, 879 planificar, en la directiva QoS, 848 selectores, lista de, 904 sintaxis de la clusula filter, 919 filtros de paquetes activar conjunto de reglas diferente, 694-695 administrar conjuntos de reglas, 693-699 alternar entre conjuntos de reglas, 698-699 anexar reglas a conjunto activo, 696-697 reglas a conjunto inactivo, 697-698 configurar, 667-670 desactivar, 682 eliminar conjunto de reglas activo, 695-696 conjunto de reglas inactivo, 699 especificar una NIC, 687-688 volver a cargar tras actualizacin del conjunto de reglas actual, 694-695 firmas digitales DSA, 658 RSA, 658 flujo de paquetes a travs de tnel, 309 encaminador de reenvo, 311 flujo de paquetes, IPv6 6to4 e IPv6 nativo, 311 a travs de tnel 6to4, 309 foreign agent, implementacin, 757 formato de decimales con puntos, 59
grupos IPMP (Continuacin) eliminar interfaces, mediante DR, 794 eliminar una interfaz de un grupo, 813-814 fallos de grupo, 790 interfaces que no estn presentes durante el arranque, 795 mostrar pertenencia a un grupo, 811-812 mover una interfaz entre grupos, 814 planificar tareas, 799-801 resolucin de problemas de configuracin de grupo, 805 velocidad de NIC en un grupo, 781-782
H
hardware acelerar clculos IKE, 602, 647 almacenar claves IKE, 602, 648-649 capa de red fsica (TCP/IP), 39, 40 capa fsica (OSI), 39 hardware para redes con IPQoS, 840 host, configurar una direccin 6to4, 275 hosts comprobar conectividad de host con ping, 228 comprobar conectividad IP, 230 configurar para IPv6, 191-199 de recepcin transferencia del paquete a travs de, 48 direcciones IPv6 temporales, 192-195 ejemplo de red, 101 en una topologa de encaminamiento IPv4, 121 en una topologa de red IPv4, 101 envo transferencia de paquete a travs de, 46, 48 modos de configuracin de TCP/IP, 101 configuraciones mixtas, 101 ejemplo de red, 101 informacin de configuracin, 99 modo de archivos locales, 99 modo de cliente de red, 101, 109 servidores de configuracin de red, 100 modos de configuracin TCP/IP modo de archivos locales, 100, 107 modo de cliente de red, 101
953
G
generar, nmeros aleatorios, 537-538 grupos de difusin por proximidad, encaminador de reenvo 6to4, 207 grupos IPMP agregar interfaces, mediante DR, 793 agregar una interfaz a un grupo, 812-813 configurar, 801-805 configurar un grupo para una nica interfaz, 810-811
ndice
hosts (Continuacin) mltiples configurar, 131 definicin, 121 nombre de host administrar, 64 archivo /etc/inet/hosts, 253 recibir transferencia del paquete a travs de, 49 resolucin de problemas generales, 243 seleccin del protocolo de encaminamiento, 125 hosts base de datos archivo /etc/inet/hosts agregar subredes, 102 hosts con varias direcciones permanentes, habilitar para IPv6, 182-184 hosts de envo transferencia de paquete a travs de, 46, 48 hosts de recepcin transferencia del paquete a travs de, 48, 49 hosts mltiples configuracin durante la instalacin, 253 configurar, 131-134 definicin, 121, 131 ejemplo de configuracin, 132 en redes con cortafuegos, 131
I
ID de cliente, 447 ID de interfaz definicin, 81 formato, en una direccin IPv6, 78 utilizar un token configurado manualmente, 198 ID de token, del hardware, 659 identificador de acceso de red IP para mviles, seccin Address, 770-771 seccin Address IP para mviles, 744 identificador de acceso de red (NAI), IP para mviles, 768 ifconfig sondear una interfaz, 123, 146, 157 ifconfig comando conectar una interfaz, 163
954
ifconfig comando (Continuacin) configurar dispositivos VLAN, 150 IGP, Ver protocolos de encaminamiento IKE aceleracin de hardware, 602 administracin de claves, 598 administrar mediante SMF, 547-548 agregar certificados autofirmados, 620 almacenamiento de hardware de claves, 602 archivo ike.preshared, 656 archivos de configuracin, 602-604 asociaciones de seguridad, 654 asociaciones de seguridad de ISAKMP, 599 asociaciones de seguridad ISAKMP, 599 base de datos crls, 660 base de datos ike.privatekeys, 659 base de datos publickeys, 659 bases de datos, 656-660 biblioteca PKCS #11, 658 buscar hardware conectado, 646 cambiar nivel de privilegios, 612, 656 certificados, 601 claves previamente compartidas, 600 comando ikeadm, 655-656 comando ikecert, 656 comando ikecert certdb, 627 comando ikecert certrldb, 637 comando ikecert tokens, 649 comprobar validez de directiva, 608 confidencialidad directa perfecta (PFS), 598 configurar con certificados de autoridad de certificacin, 626-631 con certificados de clave pblica, 618 con claves previamente compartidas, 606 para sistemas porttiles, 638-646 crear certificados autofirmados, 620 daemon, 654 daemon in.iked, 654 descripcin de servicios SMF, 602-604 descripcin general, 598 descripciones de comandos, 602-604
ndice
IKE (Continuacin) generar solicitudes de certificacin, 626 implementar, 605 intercambio de fase 1, 599 intercambio de fase 2, 600 mediante la placa Crypto Accelerator 6000 de Sun, 648-649 mediante una placa Crypto Accelerator de Sun, 659 NAT y, 642-643, 644-645 negociacin de claves de fase 1, 650-652 nivel de privilegio comprobar, 611 nivel de privilegios cambiar, 612, 656 comprobar, 612 descripcin, 655 referencia, 653 resolucin de problemas de tiempo de transmisin, 650-652 RFC, 508 servicio de SMF, 653-654 sistemas porttiles, 638-646 teclas compartidas previamente ver, 612-613 ubicaciones de almacenamiento para claves, 602-604 utilizar placa Sun Crypto Accelerator 1000, 647-648 utilizar placa Sun Crypto Accelerator 4000, 648-649 utilizar procesador UltraSPARC T2, 646 utilizar una placa Crypto Accelerator de Sun, 657, 658 ver teclas compartidas previamente, 612-613 zona global, 597 in.iked daemon nivel de privilegios comprobar, 612 indicador de recursos uniforme (URI), para acceder a CRL, 635 ndice de parmetro de seguridad (SPI), IP para mviles, 733 ndice de parmetros de seguridad (SPI) crear, 538 descripcin, 512-513
ndice de parmetros de seguridad (SPI) (Continuacin) IP para mviles, 767 tamao de clave, 538 informacin de estado, IP para mviles, 774 instruccin action, 917 interfaces comprobar paquetes, 235-236 configuracin de encaminador, 122, 125 configurar como parte de una VLAN, 168-169 conectar, 163 direcciones temporales, 192-195 en agregaciones, 174-176 en Solaris 10 1/06, 156-159 en Solaris 10 3/05, 145 interfaces lgicas de IPv6, 284-285 manualmente, para IPv6, 182-184 convenciones de denominacin, 162-163 eliminar, 148 en Solaris 10 1/06, 159-160 fallo, con IPMP, 791 hosts mltiples, 131, 253 mostrar estado, 220 mostrar estado, Solaris 10 1/06, 155-156 orden de los mdulos STREAMS en una interfaz, 800 pseudo-interfaz, para tneles 6to4, 204 reserva, en IPMP, 787 reserva en IPMP, 807-810 tipos, en Solaris 10 1/06, 163 tipos de interfaces heredadas, 163 tipos de interfaces no VLAN, 163 tipos de interfaz IPMP, 786-788 tipos de NIC, 144, 162 tipos que admiten agregaciones, 174 verificar exclusividad de direccin MAC, 160-161 visualizar estado, 217, 788 VLAN, 164-169 VLAN, en Solaris 10 3/05, 148-151 interfaces de red direcciones IP y, 63 interfaces de red mltiples archivo /etc/inet/hosts, 253 archivo /etc/inet/hosts, 253
955
ndice
interfaces de red (Continuacin) mostrar estado de DHCP, 456 interfaces de red mltiples archivo /etc/inet/hosts, 253 configuracin de encaminador, 122, 125 interfaces de redes, supervisar con servicio DHCP, 383 interfaces dinmicas a travs de anuncio de agente, 727 anuncios de agente a travs de, 764 interfaces heredadas, 163 interfaces lgicas definicin, 144, 162 para direccin IPv6, 284-285 para tneles IPv6, 201, 202, 203 sistemas cliente DHCP, 457 interfaces no VLAN, 163 interfaz, definicin, 162 interfaz de red, configurar, 144-151 interfaz de red principal, 144, 162 interfaz de reserva configurar direccin de prueba en, 809 configurar para un grupo IPMP, 807-810 definicin, 787 interfaz de socket PF_KEY IPsec, 512, 523 interfaz fsica, 170-171 Ver tambin interfaces agregar, tras la instalacin, 145, 156 configurar, 144-151 convenciones de denominacin, 162-163 definicin, 144, 162, 781 deteccin de fallos, 788 deteccin de reparaciones con IPMP, 790 eliminar, 159-160 en Solaris 10 3/05, 148 tarjeta de interfaz de red (NIC), 144, 162 VLAN, definicin, 148-151 interfaz lgica, 448 Internet, registro de nombre de dominio, 38 InterNIC servicios de registro registro de nombre de dominio, 38 interoperabilidad, IPsec con otras plataformas utilizando claves previamente compartidas, 610
956
interoperatividad, IPsec con otras plataformas en modo tnel, 506 interredes definicin, 67 redundancia y fiabilidad, 67 topologa, 66, 67 transferencia de paquetes mediante encaminadores, 68, 69 IP address, direccin de auxilio, 728 IP mvil configurar, 740-745 ejemplos de archivos de configuracin, 759-763 formato del archivo de configuracin, 759 implementar, 739 mostrar estado de agente, 753-754 RFC admitidos, 757 seccin Address nodo mvil predeterminado, 744 IP para mviles anular registro, 726, 731, 732 anuncio de agente, 726, 727, 731 anuncio de encaminador, 758 archivo de configuracin seccin Address, 767, 768-772 seccin Advertisements, 764-765 seccin General, 763-764 seccin GlobalSecurityParameters, 765-766 seccin Pool, 766-767 seccin SPI, 767-768, 769 asociacin de seguridad, 733 autenticacin de mensajes, 733, 737 comunicaciones inalmbricas, 723, 728, 737 consideraciones de seguridad, 737-738 datagrama encapsulado, 724 datagramas de multidifusin, 736 descubrimiento de agentes, 727-728 direcciones privadas, 729-730 encaminamiento de datagramas de multidifusin, 736-737 encaminamiento de datagramas de unidifusin, 735-736 funcionamiento, 724-726 funciones no admitidas, 758 funciones RFC no admitidas, 758
ndice
IP para mviles (Continuacin) identificador de acceso de red (NAIN), 768 ndice de parmetro de seguridad (SPI), 733 ndice de parmetros de seguridad (SPI), 767 informacin de estado, 774 IPsec, uso de, 738 mensaje de autenticacin, 767 mensaje de respuesta de registro, 734 mensaje de solicitud de registro, 734 mensajes de registro, 731, 732, 733, 758 movimiento de datagramas, 723 registrar, 724, 731 indicador de tnel inverso, 733 seccin Address identificador de acceso de red, 744 identificador de acceso de red (NAI), 770-771 nodo mvil predeterminado, 771-772 secciones del archivo de configuracin, 763 solicitud de agente, 727, 728 solicitud de agentes, 726 solicitud de registro, 733 tipos de encapsulado, 735 tnel inverso, 727, 729-730 consideraciones del agente externo, 734 consideraciones del agente interno, 734 encaminamiento de datagramas de multidifusin, 737 encaminamiento de datagramas de unidifusin, 736 IP para mvilesIP, registrar, 726 ip_strict_dst_multihoming, evitar falsificacin de IP, 583-586 ipgpc clasificador, Ver mdulo clasificador IPMP administrar, 811-814 archivo de configuracin IPMP, 819-820 archivo hostname.interfaz, 809 compatibilidad con ATM, 800 compatibilidad con Ethernet, 800 compatibilidad con Token ring, 800 componentes de software, 780 configuracin de grupo planificar un grupo IPMP, 799-801 resolucin de problemas, 805
IPMP, configuracin de grupo (Continuacin) tareas para configurar, 801-805 configuracin de interfaz activa-activa, 788 activa-reserva, 788 interfaz de reserva, 787, 807-810 tipos de configuracin de interfaz, 786 conmutacin por error definicin, 782 conservar configuracin tras rearranque, 803, 804 controladores de red admitidos, 788 definicin de grupo de mltiples rutas Ver grupo IPMP descripcin general, 779-783 deteccin de fallos definicin, 782 deteccin de fallos basada en sondeos, 789-790 deteccin de fallos basada en vnculos, 788-789 deteccin de reparaciones, 782 direcciones de datos, 784 direcciones de prueba, 784-785 expansin de carga, 780 mantener la configuracin tras el rearranque, 809 reconfiguracin dinmica, 783, 792-795 reemplazar interfaces, DR, 814-816 reemplazar una interfaz que no estaba presente al arrancar el sistema, 816-819 requisitos bsicos, 783 sistemas de destino, 782 configurar manualmente, 806 configurar una secuencia, 806-807 terminologa, 781-783 tiempo de deteccin de fallos, 790 trfico de sondeos, 784 vnculos IP, tipos, 781 IPQoS, 823 archivo de configuracin, 861, 916 clusula class, 866 clusula filter, 867 instruccin action de marcador, 869 instruccin action inicial, 917 instruccin de accin inicial, 865 lista de mdulos IPQoS, 918 sintaxis, 916
957
ndice
IPQoS, archivo de configuracin (Continuacin) sintaxis de instruccin action, 918 compatibilidad con dispositivos VLAN, 911 directrices en redes habilitadas para IPv6, 93 distribuciones de red admitidas, 840 distribuciones de red compatibles, 841, 842 ejemplo de configuracin, 856-858 ejemplo de red, 861 encaminadores en una red IPQoS, 886 funciones, 824 funciones de administracin del trfico, 827, 828 generacin de estadsticas, 900 implementacin del modelo Diffserv, 829 mensajes de error, 892 pginas de comando man, 825 Peticiones de comentarios relacionadas, 825 planificar la configuracin, 839 planificar la directiva QoS, 843 registro de mensajes, 891 ipqosconf, 861 IPsec activar, 523 administracin de claves, 512-513 administrar mediante SMF, 547-548 agregar asociaciones de seguridad (SA), 531 algoritmos de autenticacin, 516 algoritmos de cifrado, 516 archivo /etc/hostname.ip6.tun0 configurar VPN, 567, 580 archivo /etc/hosts, 530 archivo /etc/inet/ipnodes, 530 archivo hostname.ip.tun0 configurar VPN, 573 archivo ipsecinit.conf archivo de directiva, 517 configurar, 530 descripcin, 589-590 eliminar omisin IPsec de LAN, 563, 576 omitir LAN, 556, 572, 593 proteger el servidor web, 536 proteger servidor web, 534 archivos de configuracin, 522-524 archivos de directiva, 589-590 asegurar el registro remoto, 530
958
IPsec (Continuacin) asociaciones de seguridad (SA), 512-513 base de datos de asociaciones de seguridad (SADB), 507, 591 base de datos de directivas de seguridad (SPD), 507, 588 base de datos de directivasde seguridad (SPD), 509 Carga de seguridad encapsuladora (ESP), 513-516 comando de directiva , 588-589 comando ifconfig configurar VPN, 557, 558, 568, 581 opciones de seguridad, 593-594 comando ipsecalgs, 516, 590-591 comando ipsecconf, 517, 588-589 comando ipseckey, 513, 591-593 comando route, 558, 560, 568, 569, 574, 575, 581, 582 comando snoop, 593, 594 comandos, lista, 522-524 componentes, 507 configurar, 517, 588-589 configurar directiva permanentemente, 589-590 temporalmente, 588-589 crear manualmente SA, 539-544 daemon in.iked, 513 datos de encapsulacin, 514 descripcin general, 507 directiva de proteccin, 517 especificar algoritmos de autenticacin, 593 algoritmos de cifrado, 593 estructura criptogrfica de Solaris y, 590-591 extensiones para utilidades comando ifconfig, 593-594 comando snoop, 593, 594 implementar, 527 ndice de parmetros de seguridad (SPI), 512-513 interoperatividad con otras plataformas claves previamente compartidas, 537, 610 tneles de IP en IP, 506 IP para mviles, 738 LDoms y, 522
ndice
IPsec (Continuacin) mecanismos de proteccin, 513-516 mecanismos de seguridad, 507 modo de transporte, 517-519 modo de tnel, 517-519 NAT y, 520-521 obtener nmeros aleatorios para claves, 537-538 omitir, 517, 534, 535 origen de algoritmo, 590-591 proceso de paquetes entrantes, 509 proceso de paquetes salientes, 509 proteger paquetes, 507 servidores Web, 533-536 sistemas porttiles, 638-646 VPN, 554-564 proteger trfico, 529-533 proteger una VPN, 549-551, 551-586 protocolo SCTP y, 521, 529 protocolos de seguridad, 507, 512-513 RBAC y, 529 redes privadas virtuales (VPN), 520, 554-564 RFC, 508 roles de seguridad, 545-547 servicios directiva, 523 manual-key, 523 servicios, lista, 522-524 servicios de SMF, 505-507, 587-588 sustituir asociaciones de seguridad (SA), 540 terminologa, 508-509 tneles, 519 utilidades de claves comando ipseckey, 591-593 IKE, 598 utilizar ssh para inicio de sesin remota seguro, 532 verificar proteccin de paquetes, 544-545 visualizar directivas, 537 VPN IPv4 en modo transporte de tnel y, 570-577 VPN IPv4 y, 554-564 VPN IPv6 en modo de transporte de tnel, y, 577-583 VPN IPv6 y, 564-570 zonas y, 522, 529
IPv6 admisin de ATM, 314 agregar compatibilidad con DNS, 209 direcciones a NIS, 210 anuncio de encaminador, 296, 297, 300, 303 aspectos sobre la seguridad, 94 campos de encabezado de extensin, 278 comando nslookup, 211 comparacin con IPv4, 300-301 comparado con IPv4, 72 comprobar el estado de in.ndpd, 244 configuracin automtica de direcciones, 292, 296 configuracin automtica de direcciones sin estado, 297 configuracin de direcciones temporales, 192-195 configuracin de tneles, 200-201 daemon in.ndpd, 292 daemon in.ripngd, 293 descripcin general de protocolo, 296 descubrimiento de encaminador, 300 descubrimiento de encaminadores, 292 deteccin de direcciones duplicadas, 83 deteccin de inasequibilidad de vecinos, 83, 301 determinacin de salto siguiente, 83 direccin 6to4, 274 direcciones locales de sitio, 85 direcciones locales de vnculo, 297, 301 direcciones multidifusin, 276-277, 300 encaminamiento, 302 extensiones del comando ifconfig, 288 formato de encabezado de paquetes, 277-278 habilitar, en un servidor, 198-199 plan de direcciones, 96 preparacin para admitir DNS, 93 problemas comunes con un encaminador 6to4, 246 protocolo ND (Neighbor Discovery), 295-301 protocolos de pila doble, 90 redireccin, 296, 300 redirigir, 84 registros AAAA de DNS, 210 resolucin de problemas IPv6 comunes, 245-246 resolver problemas IPv6 comunes, 245-247 solicitud de encaminador, 295, 297
959
ndice
IPv6 (Continuacin) solicitud de vecino, 296 solicitud e inasequibilidad de vecinos, 298 subredes, 76 supervisar trfico, 238-239 tabla de directrices de seleccin de direcciones predeterminada, 286 tneles, 305-307 tneles automticos, 304 y el filtro IP de Solaris, 674-675
K
keys, crear para SA IPsec, 539-544 kstat comando, usado con IPQoS, 900
L
LDoms, IPsec y, 522 lista de visitantes agente externo, 753 IP para mviles, 773 listas de revocacin de certificados, Ver CRL
M
macros DHCP Ver macros DHCP macros de DHCP, configuracin, 397 macros DHCP arranque de red, 433 categoras, 330 crear, 419 descripcin general, 329 eliminar, 421 lmite de tamao, 331 macro de configuracin regional, 351 macro de direccin de red, 330, 352 macro de servidor, 352 macros de clase de cliente, 330 macros de ID de cliente, 330
960
macros DHCP (Continuacin) modificar, 414 orden de procesamiento, 331 predeterminadas, 343 procesamiento automtico, 330 uso, 412 mapa de hosts.byaddr, 210 mapa de hosts.byname, 210 mapa de ipnodes.byaddr, 210 mapa de ipnodes.byname, 210 mapa de tareas IPQoS planificar la configuracin, 839 mapas de tareas Cambio de los parmetros de transmisin de IKE (mapa de tareas), 650 Configuracin de IKE (mapa de tareas), 605 Configuracin de IKE con certificados de clave pblica (mapa de tareas), 618 Configuracin de IKE con claves previamente compartidas (mapa de tareas), 606 Configuracin de IKE para buscar el hardware conectado (mapa de tareas), 646 Configuracin de IKE para sistemas porttiles (mapa de tareas), 638 configuracin de red, 98-99 DHCP compatibilidad con clientes BOOTP, 392 compatibilidad con clientes slo de informacin, 434 decisiones sobre la administracin de direcciones IP, 342 eliminacin de clientes de arranque y sin disco con DHCP, 433 modificar opciones de servicio DHCP, 369 preparar red para DHCP, 333 toma de decisiones para la configuracin del servidor DHCP, 338 trabajar con redes DHCP, 382 transferir datos de configuracin de servidores DHCP, 438 uso de direcciones IP, 395 uso de macros DHCP, 412 uso de opciones DHCP, 423
ndice
mapas de tareas (Continuacin) IP mvil configuracin, 740 modificar una configuracin, 745-746 IPMP administracin de reconfiguracin dinmica (DR), 798-799 configuracin de grupos IPMP, 797-798 IPQoS configuracin de control de flujo, 897 creacin de archivo de configuracin, 859 planificar directiva QoS, 844 IPv6 configuracin, 187-188 configuracin de tneles, 199-200 planificar, 87-88 Proteccin de una VPN con IPsec (mapa de tareas), 551-586 Proteccin del trfico con IPsec (mapa de tareas), 527 red IPv4 agregar subredes, 102-103 tareas de administracin de redes, 216-217 marca de clase de servicio (CoS), 831 marcador dlcosmk, 831 etiquetas VLAN, 911 planificar el reenvo de datagramas, 853 valores de prioridad de usuario, tabla de, 911 marcador dscpmk, 831 comportamientos PHB para el reenvo de paquetes, 909 invocar, en una instruccin action de marcador, 869, 875, 881, 885 planificar el reenvo de paquetes, 853 marcas de tiempo, 744, 766 mecanismos de proteccin, IPsec, 513-516 medidor tokenmt, 830 configuracin de presencia de color, 831 configuracin de reconocimiento de colores, 907 medicin de tasas, 906 medidor de doble tasa, 907 medidor de tasa nica, 907 parmetros de tasas, 906 medidor tswtclmt, 830, 908
medidor tswtclmt (Continuacin) medicin de tasas, 908 mensajes, anuncio de encaminador, 303 mensajes de error de IPQoS, 892 metarranura almacenamiento de claves, 506, 649 metaslot, almacenamiento de claves, 597 modelo administrativo, 446 modelo administrativo de DHCPv6, 447 modelo de referencia de Interconexin de Sistemas Abiertos (OSI), 39 modelo de referencia para redes de Interconexin de Sistemas Abiertos (OSI), 38 modelo Diffserv ejemplo de flujo, 832 implementacin de IPQoS, 829 implementacin IPQoS, 830, 831, 832 mdulo clasificador, 829 mdulos de marcador, 831 mdelo Diffserv, mdulos de medidor, 830 modificar macros DHCP, 414 opciones DHCP, 428 modo de ahorro de espacio, opcin de daemon in.routed, 270 modo de archivos locales configuracin de host, 107 definicin, 99 servidores de configuracin de red, 100 sistemas que necesitan, 99, 100 modo de cliente de red configuracin de host, 109 definicin, 99 descripcin general, 101 modo de transporte datos protegidos con ESP, 518 IPsec, 517-519 modo de tnel, IPsec, 517-519 modo interactivo, comando ipseckey, 540 modo transporte, proteger datos con AH, 518 modo tnel, proteger paquete IP interior completo, 519 modos de configuracin de host (TCP/IP), 99, 101 configuraciones mixtas, 101
961
ndice
modos de configuracin de host (TCP/IP) (Continuacin) ejemplo de red, 101 modo de archivos locales, 99, 100 modo de cliente de red, 101 servidores de configuracin de red, 100 topologa de red IPv4, 101 mdulo clasificador, 829 instruccin de accin, 865 mdulo classifier, funciones de classifier, 904 mdulo flowacct, 831, 913 atributos de registros de flujo, 914 comando acctadm, para crear un archivo de control de flujo, 915 instruccin action de flowacct, 872 parmetros, 913 registros de flujo, 897 tabla de registro de flujo, 914 mdulo pfil, 673-674 ver estadsticas, 690-691 mdulo tun, 305 mdulos de marcado Ver tambin marcador dlcosmk mdulos de marcador, 831 Ver tambin marcador dlcosmk Ver tambin marcador dscpmk compatibilidad con dispositivos VLAN, 911 especificar un punto de cdigo DS, 911 PHB, para el reenvo de paquetes IP, 834 mdulos de medicin Ver tambin medidor tokenmt Ver tambin medidor tswtclmt introduccin, 830 invocar, en el archivo de configuracin IPQoS, 884 resultados de la medicin, 830, 906 mltiples rutas de redes IP (IPMP), Ver IPMP
N
NAT compatible con RFC, 506 configurar reglas para, 670-671 desactivar, 683 descripcin general, 670-671
962
NAT (Continuacin) eliminar reglas NAT, 700-701 IPsec admite varios clientes, 505-507 limitaciones con IPsec, 520-521 reglas NAT anexar, 701-702 ver, 700 uso de IPsec e IKE, 642-643, 644-645 ver estadsticas, 706-707 negociacin de claves, IKE, 650-652 NIC Ver tarjeta de interfaz de red (NIC) especificar para filtro IP de Solaris, 687-688 NIS agregar direccin IPv6, 210 bases de datos de red, 64, 261 registro de nombre de dominio, 38 seleccionar como servicio de nombres, 65 NIS+ seleccionar como servicio de nombres, 65 y el almacn de datos DHCP, 469-472 nivel de privilegio, comprobar en IKE, 611 nivel de privilegios cambiar en IKE, 612 comprobar en IKE, 612 definir en IKE, 617 nodo, IPv6, 76 nodo mvil, 722, 723, 724, 770 definicin, 724 seccin Address, 744 nodo mvil predeterminado IP para mviles, seccin Address, 771-772 seccin Address de IP mvil, 744 nombre de almacn de claves, Ver ID de token nombre de directorio (DN), para acceder a CRL, 636 nombre de host, activar solicitud de cliente de, 459 nombre de inicio de sesin annimo, 43 nombre de nodo host local, 109, 251 nombres de dominio archivo /etc/defaultdomain, 106, 109, 251 dominios de nivel superior, 65 registrar, 38 seleccionar, 65
ndice
nombres de interfaz de red, 162-163 nombres/denominacin entidades de redes de denominacin, 63 entidades de redes de nombres, 66 nombre de host administrar, 64 archivo /etc/inet/hosts, 253 nombre de nodo host local, 109, 251 nombres de dominio dominios de nivel superior, 65 registro, 38 seleccionar, 65 nombres simblicos para nmeros de red, 259 novedades comando inetconv, 108 configurar sistemas de destino en IPMP, 805-807 deteccin de fallos basada en vnculos, 788-789 estado de interfaz con comando dladm, 155 mejoras de IKE, 604 mejoras de IPsec, 524-525 protocolo SCTP, 140-143 Utilidad de gestin de servicios (SMF), 108 nsswitch.conf file, changing, 265 nuevas caracteristicas, DHCP en interfaces lgicas, 457 nuevas caractersticas, secuencias de eventos DHCP, 464-467 nuevas funciones comando routeadm, 189 configurar manualmente una direccin local de vnculo, 196-198 direcciones temporales en IPv6, 192-195 prefijo de sitio, en IPv6, 78, 79 seleccin de direcciones predeterminadas, 239-242 nmeros aleatorios, generar con comando od, 609 nmeros de red, 37 nmeros de red de clase A descripcin, 271 divisin de espacio de direccin IPv4, 60 rango de nmeros disponibles, 61 nmeros de red de clase A, B y C, 56, 61 nmeros de red de clase B descripcin, 271, 272 divisin de espacio de direccin IPv4, 60
nmeros de red de clase B (Continuacin) rango de nmeros disponibles, 61 nmeros de red de clase C descripcin, 272 divisin de espacio de direccin IPv4, 60 rango de nmeros disponibles, 61
O
omitir directiva IPsec, 517 IPsec en LAN, 556, 572 opcin -a comando ikecert, 632 comando ikecert certdb, 621, 627 comando ikecert certrldb, 637 comando ipsecconf, 533 opcin -c comando ipsecconf, 506, 588 comando ipseckey, 506, 592 daemon in.iked, 608 opcin -D comando ikecert, 658 comando ikecert certlocal, 620 opcin -F, comando ikecert certlocal, 620 opcin -f comando ipseckey, 533 daemon in.iked, 608 opcin -L, comandoipsecconf, 537 opcin -l comando ikecert certdb, 622 comando ipsecconf, 537 opcin -m, comando ikecert certlocal, 620 opcin -q, daemon in.routed, 270 opcin -S comando ikecert certlocal, 620 daemon in.routed, 270 opcin -s, comando ping, 230 opcin -T comando ikecert certlocal, 620 opcin -t comando ikecert, 658 comando ikecert certlocal, 620 daemon inetd, 139
963
ndice
opcin de seguridad auth_algs, comando ifconfig, 593-594 opcin de seguridad encr_algs, comando ifconfig, 594 opcin de seguridad encr_auth_algs, comando ifconfig, 594 opcin failover, comando ifconfig, 785 opcin -kc comando ikecert certlocal, 620, 626, 657 opcin -ks comando ikecert certlocal, 620, 657 opciones DHCP crear, 425 descripcin general, 329 eliminar, 430 modificar, 428 propiedades, 423 uso, 422
P
palabra clave cert_root archivo de configuracin de IKE, 628, 634 palabra clave cert_trust archivo de configuracin de IKE, 623, 633 comando ikecert, 658 palabra clave expire_timer, archivo de configuracin de IKE, 651 palabra clave ignore_crls, archivo de configuracin de IKE, 630 palabra clave ldap-list, archivo de configuracin de IKE, 637 palabra clave pkcs11_path descripcin, 657 comando ikecert, 658 utilizar, 632 palabra clave proxy, archivo de configuracin de IKE, 637 palabra clave retry_limit, archivo de configuracin de IKE, 651 palabra clave retry_timer_init, archivo de configuracin de IKE, 651 palabra clave retry_timer_max, archivo de configuracin de IKE, 651
964
palabra clave tunnel directiva IPsec, 518, 550, 556, 567 palabra clave use_http, archivo de configuracin IKE, 637 paquetes ciclo de vida, 46, 49 capa de aplicacin, 46 capa de Internet, 47 capa de red fsica, 48 capa de transporte, 46, 47 capa de vnculo de datos, 48 capa del vnculo de datos, 48 proceso de host de recepcin, 48 proceso del host de recepcin, 49 comprobar flujo, 235 descartados o perdidos, 229 descripcin, 45 encabezado encabezado IP, 48 funciones de protocolo TCP, 41 encapsulado de datos, 46, 47 formato de encabezado de paquetes de IPv6, 277-278 fragmentacin, 40 funciones de protocolo IP, 40 proteger con IKE, 599 con IPsec, 509, 513-516 paquetes entrantes, 509 paquetes salientes, 509 reenviar, 114 soltados o perdidos, 41 transferir encaminador, 68, 69 pila TCP/IP, 45, 49 UDP, 47 verificar proteccin, 544-545 visualizar contenido, 235 paquetes descartados o perdidos, 229 paquetes fragmentados, 40 paquetes perdidos o descartados, 229 paquetes perdidos o soltados, 41 paquetes registrados, guardar en un archivo, 711 paquetes soltados o perdidos, 41
ndice
parmetro group comando ifconfig, 801, 814 parmetro standby comando ifconfig, 787, 809 parmetro test, comando ifconfig, 801 parmetros de transmisin ajuste de IKE, 650-652 parmetros globales de IKE, 651 parmetros de transmisin (IKE), cambiar, 650 perfil de derechos de administracin de red, 546 perfil de derechos de gestin de red IPsec, 546 perfil de derechos de seguridad de red, 545-547 perfiles de derechos administracin de red, 546 gestin de red IPsec, 546 permiso de DHCP fecha de caducidad, 399 tipo, 399 permiso DHCP dinmico y permanente, 344 direcciones IP reservadas, 398 negociacin, 340 policy, 340 tiempo, 340 y direcciones IP reservadas, 344 Peticin de comentarios (RFC), IPQoS, 825 peticin de comentarios (RFC), IPv6, 73-74 peticiones de comentarios (RFC), definicin, 50 PFS, Ver confidencialidad directa perfecta (Perfect Forward Secrecy o PFS) placa de Sun Crypto Accelerator 1000, 602 placa de Sun Crypto Accelerator 4000, acelerar clculos IKE, 602 placa Sun Crypto Accelerator 1000, utilizar con IKE, 647-648 placa Sun Crypto Accelerator 4000 almacenar claves IKE, 602 utilizar con IKE, 648-649 planificacin de la red, 69 agregar encaminadores, 66, 69 decisiones de diseo, 55 decisiones sobre diseo, 55 esquema de direcciones IP, 55, 63 planificacin de red, 53
planificacin de red (Continuacin) registro de red, 58 planificacin de redes asignaciones de nombres, 63, 66 portal, en una topologa de red, 127 prefijo prefijo de sitio, IPv6, 79 prefijo de subred, IPv6, 79 red, IPv4, 61 prefijo 6to4, anuncio /etc/inet/ndpd.conf, 205 prefijo de 6to4, explicacin de las partes, 275 prefijo de red, IPv4, 61 prefijo de sitio, IPv6 advertir, en el encaminador, 190 definicin, 78, 79 obtencin, 95 prefijo de subred, IPv6, 79 prefijos anuncio de encaminador, 297, 300, 303 presencia de color, 831 procesador UltraSPARC T2, utilizar con IKE, 646 programa /usr/sbin/in.rdisc, descripcin, 270 programa ftp, 42 programa FTP annimo descripcin, 43 programa FTP annimo, descripcin, 43 programa hostconfig, 109 programa in.rdisc, descripcin, 270 proteccin de repeticin de mensajes, 766 Proteccin de una VPN con IPsec (mapa de tareas), 551-586 Proteccin del trfico con IPsec (mapa de tareas), 527 proteger claves en hardware, 602 paquetes entre dos sistemas, 529-533 servidor Web con IPsec, 533-536 sistemas porttiles con IPsec, 638-646 trfico IPsec, 507 VPN con tnel IPsec en modo transporte, 570-577 VPN con tnel IPsec en modo tnel, 554-564 protocolo ARP (Address Resolution Protocol), comparacin con protocolo ND (Neighbor Discovery), 300-301
965
ndice
protocolo BOOTP compatibilidad con clientes con el servicio DHCP, 392 y DHCP, 317 protocolo Bootparams, 100 protocolo de administracin de claves y asociacin de seguridad de Internet (ISAKMP) asociaciones de seguridad, descripcin, 599 Protocolo de configuracin dinmica de host, Ver protocolo DHCP protocolo de control de agregacin de vnculos (LACP) modificar modos de LACP, 177 modos, 173 protocolo de informacin de encaminamiento (RIP), descripcin, 44 protocolo de Internet (IP), 722 protocolo de reconocimiento, tres vas, 47 protocolo de resolucin de direcciones (ARP), definicin, 41 protocolo de tres vas, 47 protocolo DHCP descripcin general, 317 secuencia de eventos, 319 ventajas en la implementacin de Solaris, 318 protocolo ICMP descripcin, 41 invocar, con ping, 228 mensajes, para protocolo ND, 295-296 visualizar estadsticas, 222 protocolo ICMP Router Discovery (RDISC), 270 protocolo IP comprobar conectividad de host, 228, 230 descripcin, 40 visualizar estadsticas, 222 protocolo ND capacidad, 83 configuracin automtica de direcciones, 83 descubrimiento de encaminadores, 83 descubrimiento de prefijos, 83 resolucin de direcciones, 83 protocolo ND (Neighbor Discovery) caractersticas principales, 295-301 comparacin con ARP, 300-301 configuracin automtica de direcciones, 296
966
protocolo ND (Neighbor Discovery) (Continuacin) descubrimiento de encaminador, 297 descubrimiento de prefijo, 297 deteccin de direcciones duplicadas, 298 solicitud de vecino, 298 protocolo RARP asignacin de direcciones Ethernet, 266 comprobar direcciones Ethernet, 244 configuracin de servidor RARP, 107 descripcin, 100 protocolo SCTP agregar servicios activados para SCTP, 140-143 descripcin, 42 IPsec y, 529 limitaciones con IPsec, 521 servicio del archivo /etc/inet/services, 269 visualizar estadsticas, 222 visualizar estado, 223-224 Protocolo simple de administracin de red (SNMP), 44 protocolo TCP descripcin, 41 establecer una conexin, 47 segmentacin, 47 servicios del archivo /etc/inet/services, 269 visualizar estadsticas, 222 protocolo Telnet, 43 protocolo tftp descripcin, 43 protocolo de arranque de servidor de configuracin de red, 100 protocolo UDP descripcin, 42 proceso de paquetes UDP, 47 servicios del archivo /etc/inet/services, 269 visualizar estadsticas, 222 protocolos de encaminamiento daemons de encaminamiento asociados, 116 descripcin, 44, 115, 269, 270 en el sistema operativo Solaris, 115 protocolo de portal de lmite (BGP), 120 protocolo de portal exterior (EGP), 115 protocolo de portal interior (IGP), 115 RDISC descripcin, 44, 270
ndice
protocolos de encaminamiento (Continuacin) RIP descripcin, 44, 270 seleccin automtica, 125 protocolos de pila doble, 90, 279 protocolos de seguridad Carga de seguridad encapsuladora (ESP), 514-515 consideraciones de seguridad, 515 descripcin general, 507 encabezado de autenticacin (AH), 514 mecanismos de proteccin IPsec, 513 prximo salto, 301 puertos, nmeros de puerto TCP, UDP y SCTP, 269 punto de cdigo DS (DSCP), 831, 834 configuracin de reconocimiento de color, 908 configurar, en un encaminador diffserv, 887, 909 definir, en el archivo de configuracin IPQoS, 869 parmetro dscp_map, 911 PHB y DSCP, 834 planificar, en la directiva QoS, 853 punto de cdigo de reenvo AF, 835, 910 punto de cdigo de reenvo EF, 910 punto de codigo de reenvo EF, 835 punto de conexin fsico (PPA), 166 punto fsico de conexin (PPA), 150
R
ranuras, del hardware, 659 RBAC IPsec y, 529 y comandos DHCP, 327 RDISC descripcin, 44, 270 reconfiguracin dinmica (DR) agregar interfaces a un grupo IPMP, 793 definicin, 783 desconectar interfaces de un grupo IPMP, 794 interfaces que no estn presentes durante el arranque, 795 interoperatividad con IPMP, 792-795 procedimientos de conexin en DR, 816 procedimientos de desconexin en DR, 815-816 reconectar interfaces en un grupo IPMP, 794
reconfiguracin dinmica (DR) (Continuacin) reemplazar interfaces fallidas, 814-816 reemplazar una interfaz que no estaba presente al arrancar, 816-819 reconocimiento de colores, 907 recuperacin tras los errores definicin, 782 reconfiguracin dinmica (DR), con, 794 red de rea extensa (WAN) Internet registro de nombre de dominio, 38 red externa, 724, 731, 735 red permanente, 724 red principal, 723, 731, 734 redes DHCP agregar a servicio DHCP, 385 eliminar del servicio DHCP, 390 modificar, 387 trabajar con, 382-392 redes privadas virtuales (VPN) configurar con el comando routeadm, 555, 576 construidas con IPsec, 520 ejemplo de IPv4, 554-564 ejemplo de IPv6, 564-570 proteger con IPsec, 554-564 proteger con IPsec en modo de transporte de tnel, 570-577 redes TCP/IP archivos de configuracin, 249 archivo /etc/defaultdomain, 251 archivo /etc/defaultrouter, 251 archivo /etc/hostname.interfaz, 250 archivo /etc/nodename, 109, 251 base de datos hosts, 251, 254 base de datos netmasks, 256 configuracin de host, 99 configurar archivo nsswitch.conf, 263, 265 bases de datos de red, 260, 263, 265 clientes de red, 108 instalacin de servidor de configuracin de red, 107 modo de archivos locales, 107 modos de configuracin de host, 99, 101
967
ndice
redes TCP/IP, configurar (Continuacin) requisitos previos, 98 servicios TCP/IP estndar, 139 modos de configuracin de host, 101 configuraciones mixtas, 101 ejemplo de red, 101 modo de archivos locales, 99, 100 modo de cliente de red, 101 servidores de configuracin de red, 100 nmeros de red, 37 proteger con ESP, 514 resolucin de problemas, 238 comando ifconfig, 217 comando netstat, 221 comando ping, 228, 230 comprobaciones de software, 244 mtodos generales, 243 prdida de paquetes, 229, 230 programas de diagnstico de otros fabricantes, 243 visualizar contenido de paquetes, 235 tareas de configuracin de red IPv4, 104 topologa de red IPv4, 101 redireccin IPv6, 296, 300 redirigir, IPv6, 84 reemplazar, claves previamente compartidas (IKE), 610-611 reenviar trfico, planificar, en la directiva QoS, 847 reenvo acelerado (EF), 835, 910 definir, en el archivo de configuracin IPQoS, 870 reenvo asegurado (AF), 835, 910 para una instruccin action de marcador, 870 tabla de puntos de cdigo AF, 910 reenvo de IP en VPN, 519 en VPN IPv4, 554, 557, 559, 571, 573 en VPN IPv6, 565, 568, 569, 578, 580, 581 reenvo de trfico, efecto de comportamientos PHB en el reenvo de trfico, 909 reenvo del trfico flujo del trfico a travs de redes Diffserv, 835 reenvo de datagramas, 911 reenvo de paquetes IP, con DSCP, 834
968
registrar nombres de dominio, 38 sistemas autnomos, 121 registro indicador de tnel inverso, 733 IP para mviles, 724, 726, 731 mensaje de respuesta, 734 mensajes, 731, 734 redes, 58 solicitud, 733 registro de archivo syslog.conf para IPQoS, 891 registros AAAA, 210, 312 regulacin del ancho de banda, 827 regular el ancho de banda, planificar, en la directiva QoS, 847 Requests for Comments (RFC), 50 requisitos de IPMP, 783 resolucin de direcciones, en IPv6, 83 resolucin de problemas carga til de IKE, 631 comprobar vnculos de PPP flujo de paquetes, 235 redes TCP/IP comando ping, 230 comando traceroute, 233-235 comprobaciones de software, 244 comprobar paquetes entre cliente y servidor, 238 mtodos generales, 243 mostrar estado de interfaz con el comando ifconfig, 220 observar transmisiones de interfaces, 224-225 obtener estadsticas por protocolo, 221-223 obtener estado del protocolo de transporte, 223-224 prdida de paquetes, 229, 230 programas de diagnstico de otros fabricantes, 243 seguimiento de actividad de in.ndpd, 232-233 seguimiento de in.routed, 231-232 sondear hosts remotos con comando ping, 228 supervisar estado de red con comando netstat, 221 supervisar transferencia de paquetes con el comando snoop, 235
ndice
resolucin de problemas, redes TCP/IP (Continuacin) visualizar estado de rutas conocidas, 227-228 redes TCP/IP networks visualizar estado de interfaz con comando ifconfig, 217 tiempo de transmisin de IKE, 650-652 resolver problemas IPv6, 245-247 roles, crear rol de seguridad de red, 545-547 routers configurar para redes IPv4, 122 ejemplo, configurar un encaminador predeterminado, 126 Routing Information Protocol (RIP), descripcin, 270
S
salto, en reenvo de paquetes, 115 saltos, agente de reenvo, 380 seccin Address archivo de configuracin de IP para mviles, 767, 768-772 direcciones privadas, 769 etiquetas y valores, 769 etiquetas y valores de nodo predeterminado, 772 etiquetas y valores NAI, 770 seccin Advertisements archivo de configuracin de IP para mviles, 764-765 etiquetas y valores, 764 seccin General archivo de configuracin de IP para mviles, 763 etiqueta Version, 763 seccin GlobalSecurityParameters archivo de configuracin de IP para mviles, 765-766 etiquetas y valores, 766 seccin Pool, etiquetas y valores, 767 seccin Pool section, archivo de configuracin de IP para mviles, 766-767 seccin SPI archivo de configuracin de IP para mviles, 767-768, 769
seccin SPI (Continuacin) etiquetas y valores, 768 segmento ACK, 47 segmento SYN, 47 seguridad IKE, 654 IPsec, 507 seguridad de red, configurar, 503 seleccin de direcciones predeterminadas, 285-287 definicin, 239-242 tabla de directrices de seleccin de direcciones IPv6, 239-241 selectores, 830 IPQoS 5-tuple, 829 planificar, en la directiva QoS, 848 selectores, lista de, 904 servicio clave manual, utilizar, 532 servicio de manual-key, descripcin, 513 servicio de nombres de archivos locales archivo /etc/inet/hosts, 530 archivo inicial, 252, 253 ejemplo, 254 formato, 252 requisitos, 254 archivo /etc/inet/ipnodes, 530 bases de datos de red, 261 descripcin, 65 modo de archivos locales, 99, 100 servicio DHCP agregar redes, 385 arranque e instalacin en red de Solaris, 431-432 asignacin de direcciones IP, 328 compatibilidad con clientes BOOTP, 392 compatibilidad con instalacin de arranque WAN, 432 desconfigurar, 355 con el Administrador de DHCP, 357 descripcin general de la configuracin de red, 328 direcciones IP agregar, 399 eliminar, 406 inutilizables, 406 modificar propiedades, 403 reservar para cliente, 409
969
ndice
servicio DHCP (Continuacin) habilitar e inhabilitar comando dhcpconfig, 367-368 efectos de, 366 habilitar y deshabilitar Administrador de DHCP, 367 iniciar y detener Administrador de DHCP, 367 efectos de, 366 mensajes de error, 473, 481 modificar opciones de servicio, 369 planificar, 333 registro descripcin general, 371 transacciones, 372 supervisin de interfaz de red, 383 tiempo de oferta de cach, 380 topologa de red, 334 Utilidad de gestin de servicios, 368-369 servicio ike descripcin, 513, 587 utilizar, 532 servicio Ipsecalgs, descripcin, 587 servicio manual-key, descripcin, 587 servicio policy descripcin, 587 utilizar, 531 servicios IPsec ipsecalgs, 523 red y comando svcadm, 555, 566, 571 servicios de archivos, 44 servicios de nombres archivos correspondientes a las bases de datos de red, 262 archivos locales archivo /etc/inet/hosts, 251, 254 descripcin, 65 modo de archivos locales, 99, 100 base de datos hosts y, 253, 254 bases de datos de red y, 64, 261 especificacin de orden de bsqueda de base de datos, 263
970
servicios de nombres (Continuacin) especificacin de orden de bsqueda de bases de datos, 265 NIS, 65 NIS+, 65 plantillas de archivo nsswitch.conf, 264 registro de clientes DHCP, 379 registro de nombre de dominio, 38 seleccionar un servicio, 64, 66 servicios compatibles, 64 sistema de nombre de dominio (DNS), 43 sistema de nombres de dominio (DNS), 65 subdivisiones administrativas, 66 servicios diferenciados, 823 distribuciones de red, 840 modelo de servicios diferenciados, 829 proporcionar diferentes clases de servicio, 828 servicios NFS, 44 servidor, DHCPv6, 446 servidor de aplicaciones, configurar para IPQoS, 876 servidor DHCP administrar, 323 almacn de datos, 323 configuracin descripcin general, 327 informacin recopilada, 336 configurar comando dhcpconfig, 358 con el Administrador de DHCP, 350 cuntos configurar, 335 ejecutar en modo de depuracin, 477 ejemplo de salida, 479-482 funciones, 322 habilitar para actualizar DNS, 376-377 opciones, 369 Administrador de DHCP, 380-381 comando dhcpconfig, 381-382 planificacin de mltiples servidores, 345 seleccionar, 338 solucin de problemas, 469 servidores, IPv6 habilitar IPv6, 198-199 planificar tareas, 91-92
ndice
servidores de configuracin de red definicin, 100 instalar, 107 protocolos de arranque, 100 servidores Web configurar para IPQoS, 863, 873 servidores web configurar para IPQoS, 862, 874 servidores Web proteger con IPsec, 533-536 siguiente salto, 115 sistema autnomo (SA), Ver topologa de red sistema de destino, en IPMP configurar en una secuencia de shell, 806-807 configurar manualmente, 806 definicin, 782 sistema de nombre de dominio (DNS) bases de datos de red, 64, 261 descripcin, 43 habilitar actualizaciones dinmicas por parte de servidor DHCP, 376-377 registro de nombre de dominio, 38 seleccionar como servicio de nombres, 65 sistema de nombres de dominio (DNS) archivo de zona, 209 archivo de zona inversa, 209 extensiones para IPv6, 312 sistema nombres de dominio (DNS), preparar, para admitir IPv6, 93 sistemas, proteger comunicacin, 529-533 sistemas operativos basados en BSD enlace de archivo /etc/inet/hosts, 252 enlace de archivo /etc/inet/netmasks, 259 SNMP (Protocolo simple de administracin de red), 44 sockets consideraciones de seguridad, 533 seguridad IPsec, 590 visualizar estado de sockets con netstat, 225 solicitud de agente, IP para mviles, 727, 728 solicitud de agentes, IP para mviles, 726 solicitud de encaminador IPv6, 295, 297 solicitud de vecino, IPv6, 296
solicitudes de certificados de autoridad de certificacin, 626 en hardware, 632 utilizar, 658 solicitudes de comentarios (RFC) IKE, 508 IPsec, 508 solicitudes de opciones, 449 solucin de problemas, DHCP, 469 sondear una interfaz, 123, 146, 157 subdivisiones, administrativas, 66 subdivisiones administrativas, 66 subredes base de datos netmasks, 256 creacin de mscara de red, 257, 258 editar archivo /etc/inet/netmasks, 259 descripcin general, 256 direcciones IPv4 y, 258 IPv4 configuracin de mscara de red, 106 direcciones y, 257 IPv6 configuracin 6to4, 309 definicin, 76 sugerencias de numeracin, 95-96 mscaras de red aplicar a direccin IPv4, 258 crear, 258 nmero de subred, IPv4, 256 nmero de subred en direcciones IPv4, 61 prefijo de subred, IPv6, 79 servidores de configuracin de red, 100 sustituir claves manuales (IPsec), 540 SA IPsec, 540
T
opcin -T comando ikecert, 632, 658, 659 tabla de enlace agente interno, 753, 754 IP para mviles, 773 tabla dhcptab, 351
971
ndice
tabla dhcptab (Continuacin) descripcin, 497 descripcin general, 324 eliminar al desconfigurar, 356 leer automticamente, 380 tabla hosts.org_dir, 210 tabla ipnodes.org_dir, 210 tablas de encaminamiento configuracin manual, 129 configurar manualmente, 127 creacin de daemon de in.routed, 270 definicin, 115 descripcin, 68 ejemplo de transferencia de paquetes, 69 modo de ahorro de espacio, 270 mostrar, 243 seguimiento de todas las rutas, 234-235 subredes y, 256 tablas de estado, ver, 704-705 tablas de red DHCP creadas durante la configuracin del servidor, 352 descripcin, 325 eliminar al desconfigurar, 356 tarjeta de interfaz de red (NIC) administrar NIC que no estn durante el arranque, 795 conectar NIC con DR, 793 definicin, 781 desconectar NIC con DR, 794 deteccin de reparaciones, 782 fallos y conmutacin por error, 782 NIC, tipos, 144 NIC, tipos de, 162 NIC que admiten IPMP, 788 reconfiguracin dinmica, 783 velocidad de NIC en un grupo IPMP, 781-782 TCP/IP protocol suite, 37 teclas compartidas previamente, ver en IKE, 612-613 tiempo de deteccin de fallos, IPMP, 790 tipos de encapsulado, IP para mviles, 735 Token ring, compatibilidad con IPMP para, 800 topologa, 66, 67 topologa de IP para mviles, 722 topologa de red, 66, 67
972
topologa de red (Continuacin) DHCP y, 334 sistema autnomo, 119 topologa de sitio, IPv6, 80 topologa pblica, IPv6, 80 traduccin de direcciones de red (NAT), Ver NAT transicin a IPv6, mecanismo 6to4, 307 truncaciones, Ver agregaciones tnel, 735 tnel inverso consideraciones del agente externo, 734 consideraciones del agente interno, 734 encaminamiento de datagramas de multidifusin, 737 encaminamiento de datagramas de unidifusin, 736 IP para mviles, 727, 729-730 tneles configuracin de IPv6 IPv4 a travs de IPv6, 202 IPv6 a travs de IPv4, 200-201 IPv6 a travs de IPv6, 201 configurar IPv6 ejemplos, 289-290 en encaminador de reenvo 6to4, 207 tneles 6to4, 203 IPsec, 519 IPv6, automtico Ver tneles, tneles 6to4 IPv6, configurados manualmente, 305-307 mecanismos de colocacin en tneles de IPv6, 303 modo transporte, 517 modo tnel, 518 modos en IPsec, 517-519 opciones de seguridad de ifconfig, 593-594 planificar, para IPv6, 93-94 proteger paquetes, 519 topologa, hasta encaminador de reenvo 6to4, 311 tneles 6to4, 307 flujo de paquetes, 309, 311 problemas conocidos, 246 topologa, 308 tneles 6to4 definicin, 203 encaminador de reenvo 6to4, 207
ndice
tneles 6to4 (Continuacin) flujo de paquetes, 309, 311 problemas conocidos, 246 topologa de ejemplo, 308 tneles automticos, transicin a IPv6, 304 tneles IPsec, sintaxis simplificada, 505-507
U
unidad de transmisin mxima (MTU), 300 utilidad de gestin de servicios (SMF) servicio IKE actualizar, 532, 611 cambiar propiedad de servicio, 612 Utilidad de gestin de servicios (SMF) servicio IKE descripcin, 653-654 utilidad de gestin de servicios (SMF) servicio IKE descripcin, 597 Utilidad de gestin de servicios (SMF) servicio IKE habilitar, 654 utilidad de gestin de servicios (SMF) servicio IKE habilitar, 532, 642, 651 ike servicio, 602 Utilidad de gestin de servicios (SMF) servicio IKE propiedades configurables, 653 utilidad de gestin de servicios (SMF) servicio IKE reiniciar, 532 servicio ike, 513 servicios de IPsec, 587-588 manual-key servicio, 592 servicio ipsecalgs, 590 servicio policy, 523 servicios IPsec clave manual utilizar, 532 descripcin, 505-507 descripcin de manual-key, 513 lista, 522-524 utilizar para administrar IKE, 547-548
utilidad de gestin de servicios (SMF) (Continuacin) utilizar para administrar IPsec, 547-548 utilidades de claves comando ipseckey, 513 protocolo IKE, 598 servicio de manual-key, 513 servicio ike, 513 utilidades de la lnea de comandos de DHCP, 326 utilidades de lnea de comandos DHCP, privilegios, 365
V
opcin -V comando snoop, 593, 594 vaciar, Ver eliminar valor de prioridad de usuario, 831 varias interfaces de red, sistemas cliente DHCP, 457 verificar archivo ipsecinit.conf sintaxis, 531, 557 proteccin de paquetes, 544-545 vnculo, IPv6, 76 vnculo IP, en terminologa IPMP, 781 vnculos de PPP resolucin de problemas flujo de paquetes, 235 visualizar configuracin de IPsec, 589-590 directiva IPsec, 537 visualizar estadsticas de protocolo, 222 VLAN configuracin, 164-169 configuracin, en Solaris 10 3/05, 148-151 configuracin de nodos, 165 configuraciones, 164-167 definicin, 148-151, 164-169 dispositivo virtual, 150, 168 escenarios de muestra, 164 esttica configuracin, en Solaris 10 3/05, 149-151 formato de encabezado de etiqueta, 149 ID de VLAN (VID), 149 ID VLAN (VID), 165-167
973
ndice
VLAN (Continuacin) interfaces compatibles con Solaris 10 1/06, 168 planificar, 167 punto de conexin fsico (PPA), 166 punto fsico de conexin (PPA), 150 VPN, Ver redes privadas virtuales (VPN)
Z
zona global, IKE, 597 zonas administracin de claves y, 529 IPsec y, 522, 529
974

Admin Is Trac Ion Red Solar Is

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Admin Is Trac Ion Red Solar Is

Uploaded by

Copyright:

Available Formats

Gua de administracin del sistema: servicios IP

Copyright 2009 Sun Microsystems, Inc.

4150 Network Circle, Santa Clara, CA 95054 U.S.A.

Reservados todos los derechos.

Introduccin a la administracin del sistema: servicios IP ...........................................................35

Administracin de TCP/IP .................................................................................................................. 51

Gua de administracin del sistema: servicios IP Octubre de 2009

Gua de administracin del sistema: servicios IP Octubre de 2009

Nmeros de red de clase C ........................................................................................................ 272

Gua de administracin del sistema: servicios IP Octubre de 2009

Gua de administracin del sistema: servicios IP Octubre de 2009

Gua de administracin del sistema: servicios IP Octubre de 2009

Gua de administracin del sistema: servicios IP Octubre de 2009

Gua de administracin del sistema: servicios IP Octubre de 2009

Calidad de servicio IP (IPQoS) ......................................................................................................... 821

Glosario .............................................................................................................................................. 921

ndice .................................................................................................................................................. 933

Quin debe utilizar este manual

Organizacin de las guas de administracin del sistema

System Administration Guide: Basic Administration

System Administration Guide: Advanced Administration

Gua de administracin de sistemas: Zonas de Solaris y administracin de recursos y contenedores de Solaris

Gua de administracin de Solaris ZFS

Solaris Trusted Extensions Administrators Procedures

Gua de administracin del sistema: servicios IP Octubre de 2009

Solaris Trusted Extensions Configuration Guide

System Administration Guide: Solaris Printing

Referencias relacionadas con el sitio web de otras empresas

Documentacin, asistencia y formacin

Documentation (http://www.sun.com/documentation/) Support (http://www.sun.com/support/) Training (http://www.sun.com/training/)

Sun valora sus comentarios

Gua de administracin del sistema: servicios IP Octubre de 2009

Indicadores de los shells en los ejemplos de comandos

Introduccin a la administracin del sistema: servicios IP

Conjunto de protocolos TCP/IP de Solaris (descripcin general)

Novedades de esta versin

Introduccin al conjunto de protocolos TCP/IP

Introduccin al conjunto de protocolos TCP/IP

Capas de protocolo y el modelo de Interconexin de Sistemas Abiertos

Modelo de referencia OSI

Modelo de referencia de Interconexin de Sistemas Abiertos

Aplicacin Presentacin Sesin Transporte

Gua de administracin del sistema: servicios IP Octubre de 2009

Introduccin al conjunto de protocolos TCP/IP

Modelo de referencia de Interconexin de Sistemas Abiertos

Red Vnculo de datos Fsica

Modelo de arquitectura del protocolo TCP/IP

Pila de protocolo TCP/IP

Ref. OSI N de capa

Aplicacin, sesin, presentacin Transporte Red Vnculo de datos Fsica

Transporte Internet Vnculo de datos Red fsica

Introduccin al conjunto de protocolos TCP/IP

Capa de red fsica

Capa de vnculo de datos

Gua de administracin del sistema: servicios IP Octubre de 2009

Introduccin al conjunto de protocolos TCP/IP

Introduccin al conjunto de protocolos TCP/IP

Servicios TCP/IP estndar

Gua de administracin del sistema: servicios IP Octubre de 2009

Introduccin al conjunto de protocolos TCP/IP

Comandos UNIX "r"

rcp rlogin rsh

Captulo 1 Conjunto de protocolos TCP/IP de Solaris (descripcin general)