Guía de administración de sistemas: administración de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris

Interfaces de red de zona

Las interfaces de red de zona configuradas por el comando zonecfg para proporcionar conectividad de red se configurarán automáticamente y se colocarán en la zona cuando se inicie.

La capa de protocolo de Internet (IP) acepta y entrega paquetes para la red. Esta capa incluye rutas IP, el protocolo de resolución de dirección (ARP), la arquitectura de seguridad IP (IPsec) y el filtro IP.

Hay dos tipos de IP disponibles para las zonas no globales: direcciones IP compartidas y direcciones IP exclusivas. La zona de IP compartida comparte una interfaz de red y la zona de IP exclusiva debe tener una interfaz de red dedicada.

Para obtener información sobre las funciones IP de cada tipo, consulte Redes en zonas no globales de IP compartida y Solaris 10 8/07: redes en zonas no globales de IP exclusiva.

Zonas no globales de dirección IP compartida

La zona de IP compartida es el tipo predeterminado. Debe tener una o más direcciones IP dedicadas. Una zona de IP compartida comparte la configuración de capa de la IP y el estado con la zona global. La zona debe utilizar la instancia de IP compartida si se cumplen las dos condiciones siguientes:

La zona se va a conectar al mismo vínculo de datos, es decir, estará en la misma subred o las mismas subredes de IP que la zona global.
No desea utilizar las otras funciones que proporciona la zona de IP exclusiva.

A las zonas de IP compartida se asignan una o más direcciones IP utilizando el comando zonecfg. Los nombres del vínculo de datos también deben configurarse en la zona global.

Estas direcciones se asocian con las interfaces de red lógicas. El comando ifconfig puede utilizarse desde la zona global para añadir o eliminar interfaces lógicas en una zona en ejecución. Para más información, consulte Interfaces de red de IP compartida.

Solaris 10 8/07: zonas no globales de IP exclusiva

Las zonas de IP exclusiva cuentan con todas las funciones del nivel de IP.

Una zona de IP exclusiva tiene su propio estado relacionado con la IP.

Esto incluye la posibilidad de utilizar las siguientes funciones en una zona de IP exclusiva:

Configuración automática de direcciones sin estado DHCPv4 y IPv6
Filtro IP, incluida la función de traducción de direcciones de red (NAT)
Multirruta de red IP (IPMP)
Rutas IP
Comando ndd para configurar TCP/UDP/SCTP y controles de nivel de IP/ARP
Seguridad IP (IPsec) e intercambio de claves de Internet (IKE), que automatiza la provisión de materiales de claves autenticado para la asociación de seguridad de IPsec

A una zona de IP exclusiva se le asigna su propio conjunto de vínculos de datos utilizando el comando zonecfg. A la zona se le asigna un nombre de vínculo de datos como xge0, e1000g1 o bge3200, utilizando la propiedad physical del recurso net. La propiedad address del recurso net no está configurada.

Tenga en cuenta que el vínculo de datos asignado permite utilizar el comando snoop.

El comando dladm puede utilizarse con el subcomando show-linkprop para mostrar la asignación de vínculos de datos a las zonas de IP exclusiva en ejecución. El comando dladm puede utilizarse con el subcomando set-linkproppara asignar vínculos de datos adicionales a las zonas en ejecución. Consulte Solaris 10 8/07: administración de vínculos de datos en zonas no globales de IP exclusiva para ver ejemplos de uso.

En una zona de IP exclusiva en ejecución, el comando ifconfig puede utilizarse para configurar la dirección IP, que incluye la posibilidad de añadir o eliminar interfaces lógicas. La configuración IP de una zona puede configurarse del mismo modo que la zona global, utilizando sysidtools tal como se describe en sysidcfg(4).

Nota –

La configuración IP de una zona de IP exclusiva sólo puede verse desde la zona global utilizando el comando zlogin. A continuación se muestra un ejemplo.

global# zlogin zone1 ifconfig -a

Diferencias de seguridad entre las zonas globales de IP compartida y de IP exclusiva

En una zona de IP compartida, las aplicaciones de la zona, incluido el superusuario, no pueden enviar paquetes con direcciones IP de origen que no sean las asignadas a la zona con la utilidad zonecfg. Este tipo de zona no tiene acceso para enviar y recibir paquetes de vínculos de datos arbitrarios (capa 2).

En una zona de IP exclusiva, zonecfg concede el vínculo de datos completo especificado a la zona. Como resultado, el superusuario de una zona de IP exclusiva puede enviar paquetes spoofed en uno de esos vínculos de datos, al igual que puede hacerse en la zona global.

Uso simultáneo de zonas no globales de IP compartida e IP exclusiva

Las zonas de IP compartida siempre comparten la capa IP con la zona global, y las zonas de IP exclusiva siempre tienen su propia instancia de la capa IP. Pueden utilizarse tanto zonas de IP compartida como zonas de IP exclusiva en el mismo equipo.