Kapitel 5 Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)

Die TCP/IP-Netzwerkverwaltung erfolgt in zwei Stufen. Die erste Stufe ist das Zusammenstellen der Hardware. Dann konfigurieren Sie die Daemons, Dateien und Services, die das TCP/IP-Protokoll implementieren.

In diesem Kapitel wird beschrieben, wie Sie TCP/IP in einem Netzwerk konfigurieren, das IPv4-Adressierung und -Services implementiert.

Viele in diesem Kapitel beschriebene Aufgaben gelten sowohl für IPv4- als auch für IPv6-konforme Netzwerke. Wenn sich die Konfiguration bei den beiden Adressierungsformaten unterscheidet, werden die IPv4-Konfigurationsschritte in diesem Kapitel aufgeführt. Den Aufgaben in diesem Kapitel ist dann ein Querverweis zu den entsprechenden IPv6-Aufgaben in Kapitel 7Konfigurieren eines IPv6-Netzwerks (Vorgehen) hinzugefügt.

Dieses Kapitel enthält die folgenden Informationen:

• Vor der Konfiguration eines IPv6-Netzwerks (Übersicht der Schritte)

• Festlegen der Host-Konfigurationsmodi

• Hinzufügen eines Teilnetzes zu einem Netzwerk (Übersicht der Schritte)

• Konfiguration der Systeme im lokalen Netzwerk.

• Netzwerkkonfiguration (Übersicht der Schritte)

• Paketweiterleitung und Routing bei IPv4-Netzwerken

• Überwachen undModifizieren der Transportschichtservices

• Verwalten der Schnittstellen in Solaris 10 3/05

Neuerungen in diesem Kapitel

In Solaris 10 8/07 wurden die folgenden Änderungen vorgenommen:

• Sie können das Routing alternativ zum Befehl routeadm auch mithilfe der Service Management Facility (SMF) konfigurieren und verwalten. Anweisungen hierzu entnehmen Sie bitte den Verfahren und Beispielen unter Paketweiterleitung und Routing bei IPv4-Netzwerken und der Manpage routeadm(1M).

• Die Datei /etc/inet/ipnodes wird nicht mehr benötigt. Verwenden Sie /etc/inet/ipnodes nur für frühere Oracle Solaris 10-Versionen, wie es in den jeweiligen Verfahren beschrieben wird.

Vor der Konfiguration eines IPv6-Netzwerks (Übersicht der Schritte)

Bevor Sie mit der Konfiguration von TCP/IP beginnen, führen Sie die in der folgenden Tabelle beschriebenen Aufgaben aus. Die Tabelle enthält Beschreibungen zum Zweck der einzelnen Aufgaben sowie die Abschnitte der aktuellen Dokumentation, in denen die Schritte zur Ausführung der einzelnen Aufgaben beschrieben sind.

Festlegen der Host-Konfigurationsmodi

Als Netzwerkadministrator konfigurieren Sie TCP/IP für die Ausführung auf Hosts und Routern (sofern anwendbar). Sie können diese Systeme so konfigurieren, dass sie die Konfigurationsinformationen aus Dateien auf dem lokalen System oder aus Dateien beziehen, die sich auf anderen Systemen oder im Netzwerk befinden. Dazu benötigen Sie die folgenden Konfigurationsinformationen:

• Hostname jedes Systems

• IP-Adresse jedes Systems

• Domänenname, zu dem jedes System gehört

• Standard-Router

• Auf jedem Netzwerk des Systems verwendete IPv4-Netzmaske

Ein System, das die TCP/IP-Konfigurationsinformationen aus lokalen Dateien bezieht, arbeitet im lokale Dateien-Modus. Ein System, das die TCP/IP-Konfigurationsinformationen von einem Remote-Netzwerkserver bezieht, arbeitet im Netzwerkclient-Modus.

Systeme, die im lokale Dateien-Modus ausgeführt werden sollten

Damit ein System im lokale Dateien-Modus ausgeführt werden kann, muss es über lokale Kopien der TCP/IP-Konfigurationsdateien verfügen. Diese Dateien werden unter TCP/IP-Konfigurationsdateien beschrieben. Das System sollte über eine eigene Festplatte verfügen, obwohl diese Empfehlung nicht strikt eingehalten werden muss.

Die meisten Server sollten im lokale Dateien-Modus ausgeführt werden. Diese Anforderung gilt für die folgenden Server:

• Netzwerkkonfigurationsserver

• NFS-Server

• Namen-Server, die NIS-, LDAP- oder DNS-Services bereitstellen

• Mail-Server

Darüber hinaus sollten Router im lokale Dateien-Modus ausgeführt werden.

Systeme, die ausschließlich als Druckserver fungieren, müssen nicht im lokale Dateien-Modus ausgeführt werden. Ob einzelne Hosts im lokale Dateien-Modus ausgeführt werden sollten, hängt von der Größe Ihres Netzwerks ab.

Wenn Sie ein sehr kleines Netzwerk ausführen, ist der Aufwand zur Verwaltung dieser Dateien auf den einzelnen Hosts vertretbar. Umfasst Ihr Netzwerk jedoch hunderte von Hosts, wird diese Aufgabe zu umfangreich, selbst dann, wenn das Netzwerk in mehrere administrative Teildomänen aufgeteilt ist. Aus diesem Grund ist der lokale Dateien-Modus für große Netzwerke wenig effizient. Da Router und Server jedoch selbstständig sein müssen, sollten sie im lokale Dateien-Modus konfiguriert werden.

Netzwerkkonfigurationsserver

Netzwerkkonfigurationsserver sind Server, die Hosts, die im Netzwerkclient-Modus konfiguriert wurden, TCP/IP-Konfigurationsinformationen bereitstellen. Diese Server unterstützen die folgenden drei Boot-Protokolle:

• RARP – Das Reverse Address Resolution Protocol (RARP) ordnet Ethernet-Adressen (48 Bit) IPv4-Adressen (32 Bit) zu. Dies ist das umgekehrte ARP-Protokoll. Wenn Sie RARP auf einem Netzwerkkonfigurationsserver ausführen, beziehen Hosts, die im Netzwerkclient-Modus ausgeführt werden, ihre IP-Adressen und die TCP/IP-Konfigurationsdateien vom Server. RARP-Services werden vom in.rarpd-Daemon ermöglicht. Weitere Informationen finden Sie in der Manpage in.rarpd(1M).

• TFTP – Das Trivial File Transfer Protocol (TFTP) ist eine Anwendung, die Dateien zwischen Remote-Systemen überträgt. Der in.tftpd-Daemon führt TFTP-Services aus und ermöglicht eine Dateiübertragung zwischen Netzwerkkonfigurationsservern und deren Netzwerkclients. Weitere Informationen finden Sie in der Manpage in.tftpd(1M).

• Bootparams – Das Bootparams-Protokoll stellt Parameter für den Boot-Vorgang zur Verfügung, die von allen Clients benötigt werden, die nicht aus dem Netzwerk gebootet werden. Diese Services führt der rpc.bootparamd-Daemon aus. Weitere Informationen finden Sie in der Manpage bootparamd(1M).

Netzwerkkonfigurationsserver können auch als NFS-Dateiserver fungieren.

Wenn Sie Hosts als Netzwerkclients konfigurieren, müssen Sie auch mindestens ein System in Ihrem Netzwerk als Netzwerkkonfigurationsserver einrichten. Ist Ihr Netzwerk in Teilnetze aufgeteilt, muss in jedem Teilnetz mit Netzwerkclients mindestens ein Netzwerkkonfigurationsserver vorhanden sein.

Als Netzwerkclients konfigurierte Systeme

Ein Host, der die Konfigurationsinformationen von einem Netzwerkkonfigurationsserver bezieht, arbeitet im Netzwerkclient-Modus. Systeme, die als Netzwerkclients konfiguriert sind, benötigen keine lokalen Kopien der TCP/IP-Konfigurationsdateien.

Der Netzwerkclient-Modus vereinfacht die Verwaltung von großen Netzwerken. Der Netzwerkclient-Modus minimiert die Anzahl an Konfigurationsaufgaben, die Sie auf den einzelnen Hosts durchführen müssen. Der Netzwerkclient-Modus stellt sicher, dass alle Systeme im Netzwerk den gleichen Konfigurationsstandard aufweisen.

Der Netzwerkclient-Modus kann auf allen Computertypen konfiguriert werden. Beispielsweise können Sie den Netzwerkclient-Modus auf eigenständigen Systemen konfigurieren.

Gemischte Konfigurationen

Konfigurationen sind nicht auf entweder den lokale Dateien-Modus oder den Netzwerkclient-Modus beschränkt. Router und Server sollten immer im lokale Dateien-Modus konfiguriert sein. Für Hosts können Sie jedoch eine beliebige Kombination aus lokale Dateien- und Netzwerkclient-Modus wählen.

IPv4-Netzwerktopologie – Szenario

Abbildung 5–1 zeigt die Hosts in einem fiktiven Netzwerk mit der Netzwerknummer 192.9.200. Das Netzwerk verfügt über einen Netzwerkkonfigurationsserver mit der Bezeichnung sahara. Die Hosts tenere und nubian verfügen über eigene Festplatten und werden im lokale Dateien-Modus ausgeführt. Der Host faiyum verfügt ebenfalls über eine Festplatte, dieses System arbeitet aber im Netzwerkclient-Modus.

Das System timbuktu ist als Router konfiguriert. Das System verfügt über zwei Netzwerkschnittstellen. Die erste Schnittstelle heißt timbuktu und gehört zum Netzwerk 192.9.200. Die zweite Schnittstelle heißt timbuktu-201 und gehört zum Netzwerk 192.9.201 . Beide Netzwerke befinden sich in der Organisationsdomäne deserts.worldwide.com .

Abbildung 5–1 Hosts in einem IPv4-Netzwerktopologie-Szenario

Hinzufügen eines Teilnetzes zu einem Netzwerk (Übersicht der Schritte)

Um von einem Netzwerk, in dem kein Teilnetz verwendet wird, zu einem Netzwerk zu wechseln, in dem Teilnetze verwendet werden, müssen Sie die in der folgenden Tabelle beschriebenen Aufgaben ausführen.

Die Informationen in diesem Abschnitt gelten nur für IPv4-Teilnetze. Informationen zur Planung von IPv6-Teilnetzen finden Sie unter Vorbereiten der Netzwerktopologie auf die Unterstützung von IPv6 und Erstellen eine Nummerierungsschemas für Teilnetze.

In der folgenden Tabelle sind die Aufgaben beschrieben, die zum Hinzufügen eines Teilnetzes zum Netzwerk erforderlich sind. Die Tabelle enthält Beschreibungen des Zwecks der einzelnen Aufgaben sowie die Abschnitte, in denen die Schritte zur Ausführung der einzelnen Aufgaben beschrieben sind.

Netzwerkkonfiguration (Übersicht der Schritte)

In der folgenden Tabelle werden zusätzliche Aufgaben aufgeführt, die auszuführen sind, nachdem von einer Netzwerkkonfiguration ohne Teilnetze auf ein Netzwerk umgestellt wurde, in dem Teilnetze verwendet werden. Die Tabelle enthält Beschreibungen des Zwecks der einzelnen Aufgaben sowie die Abschnitte, in denen die Schritte zur Ausführung der einzelnen Aufgaben beschrieben sind.

Konfiguration der Systeme im lokalen Netzwerk.

Die Installation der Netzwerksoftware erfolgt zusammen mit der Installation der Betriebssystemsoftware. Hierbei müssen bestimmte IP-Konfigurationsparameter in den entsprechenden Dateien gespeichert werden, so dass sie beim Booten eingelesen werden können.

Zur Netzwerkkonfiguration gehört auch das Erstellen oder Bearbeiten der Netzwerkkonfigurationsdateien. Wie die Konfigurationsinformationen dann dem Systemkernel bereitgestellt werden, hängt von verschiedenen Dingen ab. Die Verfügbarkeit hängt davon ab, ob diese Dateien lokal gespeichert werden (lokale Dateien-Modus), oder ob sie vom Netzwerkkonfigurationsserver abgerufen werden (Netzwerkclient-Modus).

Bei der Netzwerkkonfiguration werden die folgenden Parameter angegeben:

• Die IP-Adresse jeder Netzwerkschnittstelle in jedem System.

• Der Host-Name jedes Systems im Netzwerk. Sie können den Host-Namen in eine lokale Datei oder in eine Namen-Service-Datenbank eingeben.

• Den NIS-, LDAP- oder DNS-Domänennamen, indem sich das System befindet (sofern anwendbar).

• Die standardmäßigen Router-Adressen. Diese Informationen geben Sie an, wenn eine einfache Netzwerktopologie nur über einen Router verfügt, der an jedes Netzwerk angehängt ist. Sie geben diese Informationen auch dann an, wenn Ihre Router kein Routing-Protokoll wie das Router Discovery Server Protocol (RDISC) oder das Router Information Protocol (RIP) ausführen. Weitere Informationen zu Standard-Routern finden Sie unter Paketweiterleitung und Routing bei IPv4-Netzwerken. Eine Liste der von Oracle Solaris unterstützten Routing-Protokolle finden Sie in Tabelle 5–1

• Teilnetzmaske (nur erforderlich für Netzwerke mit Teilnetzen).

Wenn das Oracle Solaris-Installationsprogramm mehrere Schnittstellen auf einem System erkennt, können Sie die zusätzlichen Schnittstellen optional während der Installation konfigurieren. Vollständige Anweisungen hierzu finden Sie im Oracle Solaris 10 9/10 Installationshandbuch: Grundinstallationen.

Diese Kapitel enthalten Informationen zum Erstellen und Bearbeiten von lokalen Konfigurationsdateien. Informationen zum Arbeiten mit Namen-Service-Datenbanken finden Sie im System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

So konfigurieren Sie einen Host für den lokale Dateien-Modus

Mit dem folgenden Verfahren konfigurieren Sie TCP/IP auf einem Host, der im lokale Dateien-Modus ausgeführt wird.

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Wechseln Sie in das Verzeichnis /etc.

3. Überprüfen Sie, ob der korrekte Hostname in der Datei /etc/nodename ausgewählt ist.

   Wenn Sie den Hostnamen eines Systems während der Installation von Oracle Solaris angegeben haben, wurde dieser Hostname bereits in die Datei /etc/nodename eingetragen. Achten Sie darauf, dass der Eintrag für den Knotennamen den richtigen Hostnamen für das System enthält.

4. Überprüfen Sie, ob für jede Netzwerkschnittstelle im System eine /etc/hostname.interface-Datei vorhanden ist.

   Informationen zur Dateisyntax und grundlegende Informationen zur Datei /etc/hostname.Schnittstelle finden Sie unter Grundlagen zur Verwaltung physikalischer Schnittstellen.

   Das Oracle Solaris-Installationsprogramm verlangt, dass während der Installation mindestens eine Schnittstelle konfiguriert wird. Die erste von Ihnen konfigurierte Schnittstelle wird automatisch zur primären Netzwerkschnittstelle. Das Installationsprogramm erstellt eine /etc/hostname.Schnittstelle-Datei für die primäre Schnittstelle sowie für alle weiteren Schnittstellen, die Sie optional während der Installation konfigurieren.

   Wenn Sie zusätzliche Schnittstellen während der Installation konfigurieren, prüfen Sie, ob jede über eine entsprechende /etc/hostname.Schnittstelle-Datei verfügt. Während der Installation von Oracle Solaris müssen Sie keine zusätzlichen Schnittstellen konfigurieren. Wenn Sie jedoch zu einem späteren Zeitpunkt Schnittstellen zum System hinzufügen, müssen diese manuell konfiguriert werden.

   Anweisungen zur manuellen Konfiguration von Schnittstellen finden Sie unter Verwalten der Schnittstellen in Solaris 10 3/05 bzw. So konfigurieren Sie eine physikalische Schnittstelle nach der Systeminstallation für Releases ab Solaris 10 1/06.

5. Stellen Sie bei Solaris 10 11/06 und früheren Releases sicher, dass die Einträge in der /etc/inet/ipnodes-Datei noch aktuell sind.

   Die /etc/inet/ipnodes-Datei wird vom Oracle Solaris 10-Installationsprogramm erstellt. Diese Datei enthält den Knotennamen und die IPv4-Adresse (sowie die IPv6-Adresse, sofern vorhanden) jeder Schnittstelle, die während der Installation konfiguriert wurde.

   Für Einträge in der /etc/inet/ipnodes-Datei verwenden Sie das folgende Format:

   IP-address node-name nicknames...

   Nicknamen sind zusätzliche Namen, unter denen eine Schnittstelle bekannt ist.

6. Prüfen Sie, ob die Einträge in der /etc/inet/hosts-Dateien noch aktuell sind.

   Das Oracle Solaris-Installationsprogramm erstellt Einträge für die primäre Netzwerkschnittstelle, die Loopback-Adresse und, sofern anwendbar, für alle weiteren Schnittstellen, die während der Installation konfiguriert wurden.

   1. Achten Sie darauf, dass die in der /etc/inet/hosts-Datei vorhandenen Einträge noch aktuell sind.

   2. (Optional) Fügen Sie die IP-Adressen und die entsprechenden Namen aller Netzwerkschnittstellen hinzu, die dem lokalen Host nach der Installation hinzugefügt wurden.

   3. (Optional) Fügen Sie die IP-Adresse bzw. -adressen des Dateiservers hinzu, wenn das /usr-Dateisystem NFS-gemountet ist.

7. Geben Sie den vollständig qualifizierten Domänennamen des Hosts in die /etc/defaultdomain-Datei ein.

   Angenommen, der Host tenere ist Teil der Domäne deserts.worldwide.com. In diesem Fall würden Sie deserts.worldwide.com in die /etc/defaultdomain-Datei eingeben. Weitere Informationen finden Sie unter /etc/defaultdomain-Datei.

8. Geben Sie den Routernamen in die /etc/defaultrouter-Datei ein.

   Informationen zu dieser Datei finden Sie unter /etc/defaultrouter-Datei.

9. Geben Sie den Namen des Standard-Routers und dessen IP-Adressen in die /etc/inet/hosts-Datei ein.

   Wie unter So konfigurieren Sie Hosts für den Netzwerkclient-Modus beschrieben, stehen weitere Routing-Optionen zur Verfügung. Sie können die Optionen bei der Konfiguration eines lokale Dateien-Modus anwenden.

10. Fügen Sie eine Netzwerkmaske für Ihr Netzwerk hinzu (sofern anwendbar):

    • Wenn der Host seine IP-Adresse von einem DHCP-Server bezieht, müssen Sie die Netzwerkmaske nicht angeben.

    • Wenn Sie im Netzwerk dieses Clients einen NIS-Server eingerichtet haben, können Sie die netmask-Informationen in die entsprechende Datenbank auf dem Server eingeben.

    • Bei allen anderen Bedingungen führen Sie folgende Schritte aus:

    1. Geben Sie die Netzwerknummer und die Netzmaske in die /etc/inet/netmasks-Datei ein.

       Verwenden Sie die folgende Syntax:

       network-number netmask

       Für die Klasse C-Netzwerknummer 192.168.83 geben Sie z. B. Folgendes ein:

       192.168.83.0 255.255.255.0

       Bei CIDR-Adressen wandeln Sie das Netzwerkpräfix in die entsprechende getrennte dezimale Notation um. Netzwerkpräfixe und deren Entsprechungen in der getrennten dezimalen Notation finden Sie in Tabelle 2–3. Für das CIDR-Netzwerkpräfix 192.168.3.0/22 geben Sie z. B. Folgendes ein.

       192.168.3.0 255.255.252.0

    2. Ändern Sie die Suchreihenfolge für Netzmasken in der /etc/nsswitch.conf-Datei, so dass lokale Dateien zuerst durchsucht werden:

       netmasks: files nis

11. Starten Sie das System neu.

So richten Sie einen Netzwerkkonfigurationsserver ein

Informationen zum Einrichten von Installations- und Boot-Servern finden Sie in Oracle Solaris 10 9/10 Installationshandbuch: Grundinstallationen

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Wechseln Sie in das Root-Verzeichnis (/) des künftigen Netzwerkkonfigurationsservers.

3. Schalten Sie den in.tftpd-Daemon ein, indem Sie das Verzeichnis /tftpboot erstellen:

   # mkdir /tftpboot

   Mit diesem Befehl wird das System als ein TFTP-, bootparams- und RARP-Server konfiguriert.

4. Erstellen Sie einen symbolischen Link zum Verzeichnis.

   # ln -s /tftpboot/. /tftpboot/tftpboot

5. Aktivieren Sie die Zeile tftp in der /etc/inetd.conf-Datei.

   Prüfen Sie, ob der Eintrag wie folgt lautet:

   tftp dgram udp6 wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot

   Diese Zeile verhindert, dass der in.tftpd-Daemon andere Dateien außer denen abruft, die sich im /tftpboot-Verzeichnis befinden.

6. Nehmen Sie Änderungen an der hosts-Datenbank vor.

   Fügen Sie die Hostnamen und IP-Adressen jedes Client im Netzwerk hinzu.

7. Nehmen Sie Änderungen an der ethers-Datenbank vor.

   Erstellen Sie Einträge für jeden Host im Netzwerk, der im Netzwerkclient-Modus ausgeführt wird.

8. Nehmen Sie Änderungen an der bootparams-Datenbank vor.

   Lesen Sie bootparams-Datenbank. Verwenden Sie einen Platzhalter oder erstellen Sie einen Eintrag für jeden Host, der im Netzwerkclient-Modus ausgeführt wird.

9. Wandeln Sie den /etc/inetd.conf-Eintrag in ein Service Management Facility (SMF)-Servicemanifest um, und aktivieren Sie den resultierenden Service:

   # /usr/sbin/inetconv

10. Prüfen Sie, ob der in.tftpd-Daemon korrekt arbeitet.

    # svcs network/tftp/udp6

    Es sollte eine Ausgabe ähnlich der Folgenden angezeigt werden:

    STATE STIME FMRI online 18:22:21 svc:/network/tftp/udp6:default

Verwalten des in.tftpd-Daemon

Der in.tftpd-Daemon wird von der Service Management Facility verwaltet. Administrative Aktionen am in.tftpd-Daemon, z. B. Aktivieren, Deaktivieren oder Neustarten, können mithilfe des Befehls svcadm ausgeführt werden. Die Verantwortung für das Initiieren und Neustarten dieses Services wurde an inetd delegiert. Mit dem Befehl inetadm können Sie Konfigurationsänderungen vornehmen und die Konfigurationsinformationen für den in.tftpd-Daemon anzeigen. Der Status des Services kann mithilfe des Befehls svcs abgefragt werden. Eine Übersicht zur Service Management Facility finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration.

Konfiguration der Netzwerkclients

Netzwerkclients beziehen ihre Konfigurationsinformationen von Netzwerkkonfigurationsservern. Daher müssen Sie vor dem Konfigurieren eines Hosts als Netzwerkclient sicherstellen, dass mindestens ein Netzwerkkonfigurationsserver für das Netzwerk eingerichtet ist.

So konfigurieren Sie Hosts für den Netzwerkclient-Modus

Führen Sie die folgenden Schritte auf jedem Host aus, der im Netzwerkclient-Modus konfiguriert werden soll.

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Suchen Sie das /etc-Verzeichnis der nodename-Datei.

   Wenn eine solche Datei vorhanden ist, löschen Sie sie.

   Durch Löschen der /etc/nodename-Datei wird das System gezwungen, das Programm hostconfig zu verwenden, um Hostnamen, Domänennamen und Router-Adressen vom Netzwerkkonfigurationsserver zu beziehen. Lesen Sie dazu Konfiguration der Systeme im lokalen Netzwerk. .

3. Erstellen Sie eine /etc/hostname.Schnittstelle-Datei, sofern keine vorhanden ist.

   Stellen Sie sicher, dass die Datei leer ist. Eine leere /etc/hostname.Schnittstelle-Datei sorgt dafür, dass das System die IPv4-Adresse vom Netzwerkkonfigurationsserver bezieht.

4. Stellen Sie sicher, dass die /etc/inet/hosts-Datei nur den localhost-Namen und die IP-Adresse der Loopback-Netzwerkschnittstelle enthält.

   # cat /etc/inet/hosts # Internet host table # 127.0.0.1 localhost

   Die IPv4-Loopback-Schnittstelle hat die IP-Adresse 127.0.0.1

   Weitere Informationen finden Sie unter Loopback-Adresse. Die Datei darf die IP-Adresse und den Hostnamen des lokalen Hosts (primärer Netzwerkschnittstelle) nicht enthalten.

5. Prüfen Sie, ob eine /etc/defaultdomain-Datei vorhanden ist.

   Wenn eine solche Datei vorhanden ist, löschen Sie sie.

   Das hostconfig-Programm richtet den Domänennamen automatisch ein. Um den von hostconfig eingerichteten Domänennamen zu überschreiben, geben Sie den zu verwendenden Domänennamen in die /etc/defaultdomain-Datei ein.

6. Stellen Sie sicher, dass die Suchpfade in der /etc/nsswitch.conf-Datei auf dem Client die Namensdienst-Anforderungen für Ihr Netzwerk erfüllt.

So ändern Sie die IPv4-Adresse und andere Netzwerkkonfigurationsparameter

In diesem Verfahren wird beschrieben, wie Sie IPv4-Adresse, Hostname und andere Netzwerkparameter bei einem bereits installierten System ändern. Mit diesem Verfahren ändern Sie die IP-Adresse eines Servers oder eines mit einem Netzwerk verbundenen eigenständigen Systems. Dieses Verfahren gilt nicht für Netzwerkclients oder -geräte. Die im Folgenden aufgeführten Schritte erstellen eine Konfiguration, die auch nach einem Neustart gültig bleibt.

Die Anweisungen gelten speziell für das Ändern der IPv4-Adresse der primären Netzwerkschnittstelle. Informationen zum Hinzufügen einer weiteren Schnittstelle zum System finden Sie unter So konfigurieren Sie eine physikalische Schnittstelle nach der Systeminstallation.

Die im Folgenden aufgeführten Schritte verwenden fast ausschließlich die traditionelle getrennte dezimale IPv4-Notation zur Angabe der IPv4-Adresse und der Teilnetzmaske. Alternativ können Sie die CIDR-Notation verwenden, um die IPv4-Adresse in allen anwendbaren Dateien dieses Verfahrens anzugeben. Eine Einführung in die CIDR-Notation finden Sie unter IPv4-Adressen im CIDR-Format.

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Bei Solaris 10 11/06 und früheren Releases ändern Sie die IP-Adresse nur in der /etc/inet/ipnodes-Datei oder der entsprechenden ipnodes-Datenbank.

   Verwenden Sie die folgende Syntax für jede IP-Adresse, die Sie dem System hinzufügen:

   IP-address host-name, nicknames IP-address interface-name, nicknames

   Der erste Eintrag muss die IP-Adresse der primären Netzwerkschnittstelle und der Hostname des Systems sein. Optional können Sie Nicknamen für den Hostnamen angeben. Wenn Sie weitere physikalische Schnittstellen zu einem System hinzufügen, erstellen Sie Einträge in der /etc/inet/ipnodes-Datei für die IP-Adressen und weisen diesen Schnittstellen Namen zu.

3. Ändert sich der Hostname eines Systems, bearbeiten Sie den entsprechenden Eintrag in der /etc/nodename-Datei.

4. Ändern Sie die IP-Adresse und, sofern anwendbar, den Hostnamen in der /etc/inet/hosts-Datei oder der entsprechenden hosts-Datenbank.

5. Ändern Sie die IP-Adresse in der /etc/hostname.Schnittstelle-Datei für die primäre Netzwerkschnittstelle.

   Sie können eine der folgenden Angaben als Eintrag für die primäre Netzwerkschnittstelle in der /etc/hostname.Schnittstelle-Datei verwenden:

   • IPv4-Adresse im traditionellen getrennten dezimalen Format

     Verwenden Sie die folgende Syntax:

     IPv4 address subnet mask

     Der Eintrag für die Netzmaske ist optional. Wenn Sie die Netzmaske nicht angeben, wird die Standard-Netzmaske übernommen.

     Beispiel:

     # vi hostname.eri0 10.0.2.5 netmask 255.0.0.0

   • IPv4-Adresse, in der CIDR-Notation, sofern für Ihre Netzwerkkonfiguration anwendbar.

     IPv4 address/network prefix

     Beispiel:

     # vi hostname.eri0 10.0.2.5/8

     Das CIDR-Präfix weist die geeignete Netzmaske für die IPv4-Adresse zu. Beispielsweise gibt die /8 oben die Netzmaske 255.0.0.0 an.

   • Hostname.

     Um den Hostnamen des Systems in der /etc/hostname.Schnittstelle-Datei zu verwenden, achten Sie darauf, dass der Hostname und die zugehörige IPv4-Adresse auch in der hosts-Datenbank angegeben sind.

6. Wenn die Teilnetzmaske geändert wurde, müssen Sie die Teilnetz-Einträge in den folgenden Dateien bearbeiten:

   • /etc/netmasks

   • (Optional) /etc/hostname.Schnittstelle

7. Hat sich die Teilnetzadresse geändert, müssen Sie die IP-Adresse des Standard-Routers in der /etc/defaultrouter-Datei zur Adresse des neuen Standard-Routers des Teilnetzes ändern.

8. Starten Sie das System neu.

   # reboot -- -r

Beispiel 5–1 Ändern der IPv4-Adresse und anderer Netzwerkparameter, so dass sie nach einem Neustart gültig bleiben

In diesem Beispiel wird gezeigt, wie die folgenden Netzwerkparameter eines Systems geändert werden, dass in ein anderes Teilnetz verschoben wird:

• Die IP-Adresse der primäre Netzwerkschnittstelle eri0 wird von 10.0.0.14 zu 192.168.55.14 geändert.

• Der Hostname ändert sich von myhost zu mynewhostname.

• Die Netzmaske ändert sich von 255.0.0.0 zu 255.255.255.0.

• Die Adresse des Standard-Routers ändert sich zu 192.168.55.200 .

Prüfen Sie den aktuellen Status des Systems:

# hostname
myhost
# ifconfig -a

lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 

Als Nächstes ändern Sie den Hostnamen und die IP-Adresse des Systems eri0 in den entsprechenden Dateien:

# vi /etc/nodename
mynewhostname

In Solaris 10 11/06 and earlier Solaris 10 releases only, do the following:
# vi /etc/inet/ipnodes
192.168.55.14   mynewhostname      #moved system to 192.168.55 net

# vi /etc/inet/hosts
#
# Internet host table
#
127.0.0.1       localhost
192.168.55.14   mynewhostname        loghost
# vi /etc/hostname.eri0
192.168.55.14   netmask  255.255.255.0

Schließlich ändern Sie die Netzmaske und die IP-Adresse des Standard-Routers.

# vi /etc/netmasks.
.
.
192.168.55.0    255.255.255.0
# vi /etc/defaultrouter
192.168.55.200        #moved system to 192.168.55 net
#

Nachdem Sie alle Änderungen vorgenommen haben, booten Sie das System neu.

# reboot -- -r

Überprüfen Sie, ob die gerade eingerichtete Konfiguration auch nach einem Neustart bestehen bleibt:

# hostname
mynewhostname
# ifconfig -a

lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 192.168.55.14 netmask ffffff00 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 

Beispiel 5–2 Ändern der IP-Adresse und des Hostnamens nur für die aktuelle Sitzung

In diesem Beispiel wird gezeigt, wie Sie den Hostnamen und die IP-Adresse der primären Netzwerkschnittstelle und die Teilnetzmaske nur für die aktuelle Sitzung ändern. Wenn Sie das System neu starten, nimmt das System wieder die vorherige IP-Adresse und Teilnetzmaske an. Die IP-Adresse der primären Netzwerkschnittstelle eri0 wird von 10.0.0.14 zu 192.168.34.100 geändert.

# ifconfig -a

lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 
# ifconfig eri0 192.168.34.100 netmask 255.255.255.0 broadcast + up
# vi /etc/nodename
mynewhostname

# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 192.168.34.100 netmask ffffff00 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 
# hostname
mynewhostname

Beispiel 5–3 Ändern der IPv4-Adresse für die aktuelle Sitzung mithilfe der CIDR-Notation

In diesem Beispiel wird gezeigt, wie Sie den Hostnamen und die IP-Adresse mithilfe der CIDR-Notation nur für die aktuelle Sitzung ändern. Wenn Sie das System neu starten, nimmt das System wieder die vorherige IP-Adresse und Teilnetzmaske an. Die IP-Adresse der primären Netzwerkschnittstelle eri0 wird von 10.0.0.14 zu 192.168.6.25/27 geändert.

# ifconfig -a

lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 
# ifconfig eri0 192.168.6.25/27 broadcast + up
# vi /etc/nodename
mynewhostname
# ifconfig -a

lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 192.168.06.25 netmask ffffffe0 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 
# hostname
mynewhostname

Wenn Sie die CIDR-Notation für die IPv4-Adressen verwenden, müssen Sie die Netzmaske nicht angeben. ifconfig verwendet die Bezeichnung des Netzwerkpräfix, um die Netzmaske festzulegen. Für das Netzwerk 192.168.6.0/27 legt ifconfig die Netzmaske ffffffe0 fest. Wenn Sie die gebräuchlichere /24-Präfixbezeichnung verwenden, wäre die resultierende Netzmaske ffffff00. Bei der Konfiguration einer neuen IP-Adresse entspricht das Verwenden der /24-Präfixbezeichnung der Angabe der Netzmaske 255.255.255.0 gegenüber ifconfig.

Siehe auch

Wie Sie die IP-Adresse einer anderen Schnittstelle als der primäre Netzwerkschnittstelle ändern, lesen Sie im System Administration Guide: Basic Administration und unter So konfigurieren Sie eine physikalische Schnittstelle nach der Systeminstallation.

Paketweiterleitung und Routing bei IPv4-Netzwerken

Dieser Abschnitt enthält Verfahren und Beispiele, mit denen gezeigt wird, wie Weiterleitung und Routing für Router und Hosts in IPv4-Netzwerken konfiguriert werden.

Paketweiterleitung ist ein allgemeines Verfahren zum gemeinsamen Nutzen von Informationen auf mehreren Systemen in einem Netzwerk. Pakete werden zwischen einer Ursprungsschnittstelle und einer Zielschnittstelle übertragen, die sich in der Regel in zwei verschiedenen Systemen befinden. Wenn Sie einen Befehl ausgeben oder eine Nachricht an eine nicht-lokale Schnittstelle senden, sendet Ihr System diese Pakete an das lokale Netzwerk. Die Schnittstelle mit der im Paket-Header angegebenen IP-Zieladresse empfängt die Pakete dann vom lokalen Netzwerk. Befindet sich die Zieladresse nicht im lokalen Netzwerk, werden die Pakete an das nächste benachbarte Netzwerk bzw. an den nächsten Hop weitergeleitet. Standardmäßig wird die Paketweiterleitung bei der Installation von Oracle Solaris automatisch konfiguriert.

Routing ist der Prozess, bei dem Systeme entscheiden, wohin ein Paket gesendet wird. Routing-Protokolle auf einem System „erkennen“ andere Systeme im lokalen Netzwerk. Befinden sich Ursprungs- und Zielsystem im gleichen lokalen Netzwerk, wird der Pfad eines Paketes zwischen diesen Systemen als direkte Route bezeichnet. Muss ein Paket mindestens einen Hop über das Quellsystem hinaus durchlaufen, wird der Pfad zwischen Ursprungs- und Zielsystem als indirekte Route bezeichnet. Die Routing-Protokolle lernen den Pfad zu einer Zielschnittstelle und speichern Daten über bekannte Routen in der so genannten Routing-Tabelle.

Router sind speziell konfigurierte Systeme mit mehreren physikalischen Schnittstellen, die die Verbindung zu mehreren lokalen Netzwerken herstellen. Aus diesem Grund kann der Router Pakete über das eigene LAN hinaus weiterleiten, unabhängig davon, ob der Router ein Routing-Protokoll ausführt. Weitere Informationen, wie Router Pakete weiterleiten, finden Sie unter Planen der Router für Ihr Netzwerk.

Routing-Protokolle verarbeiten die Routing-Aktivität eines Systems und pflegen die Angaben über bekannte Routen zu Remote Netzwerken, indem sie Routing-Informationen mit anderen Hosts austauschen. Sowohl Router als auch Hosts können Routing-Protokolle ausführen. Die Routing-Protokolle auf dem Host kommunizieren mit Routing-Daemons auf anderen Routern und Hosts. Diese Protokolle helfen dem Host zu ermitteln, wohin Pakete weitergeleitet werden. Wenn Netzwerkschnittstellen aktiviert sind, kommuniziert das System automatisch mit den Routing-Daemons. Diese Daemons überwachen die Router in einem Netzwerk und melden die Router-Adressen an die Hosts im lokalen Netzwerk. Einige Routing-Protokolle (aber nicht alle) pflegen sogar Statistiken, die Sie zum Messen der Routing-Leistung verwenden können. Im Gegensatz zur Paketweiterleitung muss das Routing auf einem Oracle Solaris-System explizit konfiguriert werden.

Dieser Abschnitt enthält Aufgaben zur Verwaltung von Paketweiterleitung und Routing auf IPv4-Routern und Hosts. Weitere Informationen zum Routing in IPv6-konformen Netzwerken finden Sie unter Konfiguration eines IPv6-Routers.

Von Oracle Solaris unterstützte Routing-Protokolle;

Routing Protokolle werden als Interior Gateway Protocols (IGPs), Exterior Gateway Protocols (EGPs) oder als eine Kombination aus beidem klassifiziert. Interior Gateway Protocols tauschen Routing-Informationen zwischen Routern in Netzwerken unter gemeinsamer administrativer Kontrolle aus. Bei der in Abbildung 5–3 gezeigten Netzwerktopologie führen die Router ein IGP aus, um Routing-Informationen untereinander auszutauschen. Exterior Gateway Protocols ermöglichen es einem Router, der ein lokales Netzwerk mit dem externen Netzwerk verbindet, Informationen mit anderen Routern im externen Netzwerk auszutauschen. Beispielsweise führt ein Router, der ein Unternehmensnetzwerk mit einem ISP verbindet, ein EGP aus, um Routing-Informationen mit seinem Router-Gegenstück beim ISP auszutauschen. Border Gateway Protocol (BGP) ist ein beliebtes EGP, das für die Übertragung von Routing-Informationen zwischen unterschiedlichen Organisationen und IGPs verwendet wird.

Die folgende Tabelle enthält Informationen zu den Oracle Solaris-Routing-Protokollen und verweist auf die entsprechende Dokumentation.

Weiterhin unterstützt Oracle Solaris 10 die Open Source Quagga Routing-Protokoll-Familie. Diese Protokolle befinden sich auf der SFW-Konsolidierungs-CD, obwohl sie nicht zur Oracle Solaris-Distribution gehören. Die folgende Tabelle enthält eine Liste der Quagga-Protokolle:

Die folgende Abbildung zeigt ein autonomes System, in dem die Quagga-Routing-Protokolle verwendet werden:

Abbildung 5–2 Unternehmensnetzwerk, in dem Quagga-Protokolle ausgeführt werden

Die Abbildung zeigt ein Unternehmensnetzwerk mit einem autonomen System, das in zwei Routing-Domänen, A und B, aufgeteilt ist. Eine Routing-Domäne ist ein Internetzwerk mit einer kohäsiven Routing-Richtlinie – entweder aus administrativen Gründen oder weil die Domäne ein einzelnes Routing-Protokoll ausführt. Beide Domänen in der Abbildung führen Routing-Protokolle aus der Quagga-Protokollfamilie aus.

Routing-Domäne A ist eine OSPF-Domäne, die unter einer einzelnen OSPF-Domänen-ID verwaltet wird. Alle Systeme innerhalb dieser Domäne führen OSPF als Interior Gateway Protocol aus. Zusätzlich zu den internen Hosts und Routern umfasst Domäne A zwei Grenzrouter.

Grenzrouter R1 verbindet das Unternehmensnetzwerk mit einem ISP und schließlich mit dem Internet. Um die Kommunikation zwischen dem Unternehmensnetzwerk und der Außenwelt zu vereinfachen, führt R1 das BGP über die nach außen gerichtete Netzwerkschnittstelle aus. Grenzrouter R5 verbindet Domäne A mit Domäne B. Alle Systeme in Domäne B werden mit RIP als Interior Gateway Protocol verwaltet. Aus diesem Grund muss der Grenzrouter R5 OSPF in der Domäne A zugewandten Schnittstelle und RIP in der Domäne B zugewandten Schnittstelle ausführen.

Weitere Informationen zu den Quagga-Protokollen finden Sie unter Open Solaris Quagga. Konfigurationsanweisungen für diese Protokolle finden Sie in der Quagga-Dokumentation.

Topologie eines autonomen IPv4-Systems

Standorte mit mehreren Routern und Netzwerken verwalten ihre Netzwerktopologie in der Regel als eine Routing-Domäne bzw. als ein autonomes System (AS). Die folgende Abbildung zeigt eine typische Netzwerktopologie, die als ein kleines autonomes System angesehen werden kann. Auf diese Topologie wird im folgenden Abschnitt in Beispielen verwiesen.

Abbildung 5–3 Autonomes System mit mehreren IPv4-Routern

Die Abbildung zeigt ein AS, das in drei lokalen Netzwerke aufgeteilt ist: 10.0.5.0, 172.20.1.0 und 192.168.5 . Vier Router teilen die Verantwortung für die Paketweiterleitung und das Routing. Das AS umfasst die folgenden Systemtypen:

• Grenzrouter verbinden ein AS mit einem externen Netzwerk, z. B. dem Internet. Grenzrouter verbinden externe Netzwerke mit dem IGP, das im lokalen AS ausgeführt wird. Ein Grenzrouter kann ein EGP ausführen, z. B. das Border Gateway Protocol (BGP), um Informationen mit externen Routern auszutauschen, z. B. den Routern beim ISP. In Abbildung 5–3 verbinden die Schnittstellen des Grenzrouters das interne Netzwerk 10.0.5.0 mit einem High-Speed-Router beim Service-Provider.

  Informationen zum Konfigurieren eines Grenzrouters und zu BGP finden Sie in der Open Source Quagga-Dokumentation.

  Wenn Sie beabsichtigen, Ihr AS mithilfe von BGP mit dem Internet zu verwenden, sollten Sie eine autonome Systemnummer (ASN) von der Internet Registry für Ihr Gebiet beziehen. Regionale Registrierungsbehörden wie die American Registry for Internet Numbers (ARIN) bieten Richtlinien, wie eine ASN bezogen werden kann. Das ARIN Number Resource Policy Manual enthält beispielsweise eine Anleitung zum Beziehen einer ASN für autonome Systeme in den USA und Kanada. Alternativ ist eventuell Ihr ISP in der Lage, eine ASN für Sie zu beziehen.

• Standard-Router verwalten Routing-Informationen zu allen Systemen im lokalen Netzwerk. Diese Router führen in der Regel IGPs wie z. B. RIP aus. In Abbildung 5–3 sind die Schnittstellen von Router 1 mit dem internen Netzwerk 10.0.5.0 und dem internen Netzwerk 192.168.5 verbunden. Router 1 dient außerdem als Standard-Router für 192.168.5. Router 1 verwaltet die Rounting-Informationen aller Systeme in 192.168.5 und leitet an die verbleibenden Router weiter, wie dem Grenzrouter. Die Schnittstellen von Router 2 sind mit dem internen Netzwerk 10.0.5.0 und dem internen Netzwerk 172.20.1 verbunden.

  Ein Beispiel für die Konfiguration eines Standard-Routers finden Sie in Beispiel 5–4.

• Router zur Paketweiterleitung leiten Pakete weiter, führen aber keine Routing-Protokolle aus. Dieser Routertyp empfängt Pakete von einer seiner Schnittstellen, die mit einem einzelnen Netzwerk verbunden ist. Diese Pakete werden dann über eine andere Schnittstelle des Routers an ein anderes lokales Netzwerk weitergeleitet. In Abbildung 5–3 ist Router 3 ein Router zur Paketweiterleitung mit Verbindungen zu den Netzwerken 172.20.1 und 192.168.5.

• Multihomed-Hosts verfügen über mindestens zwei Schnittstellen, die mit dem gleichen Netzwerksegment verbunden sind. Ein Multihomed-Host kann Pakete weiterleiten. Dies ist die Standardeinstellung für alle Systeme, die Oracle Solaris ausführen. Abbildung 5–3 zeigt einen Multihomed-Host, dessen zwei Schnittstellen mit dem Netzwerk 192.168.5 verbunden sind. Ein Beispiel für die Konfiguration eines Multihomed-Host finden Sie in Beispiel 5–6.

• Hosts mit nur einer Schnittstelle verlassen sich nicht nur zur Paketweiterleitung, sondern auch zum Abrufen von wichtigem Konfigurationsinformationen auf lokale Router. Abbildung 5–3 zeigt Host A im Netzwerk 192.168.5, in dem dynamisches Routing ausgeführt wird, und Host B im Netzwerk 172.20.1, in dem statisches Routing ausgeführt wird. Informationen zur Konfiguration eines Hosts zum Ausführen von dynamischem Routing finden Sie unter So aktivieren Sie das dynamische Routing auf einem Host mit einer Schnittstelle. Informationen zur Konfiguration eines Hosts zum Ausführen von statischem Routing finden Sie unter So aktivieren Sie statisches Routing auf einem Host mit einer Schnittstelle.

Konfiguration eines IPv4-Routers

Dieser Abschnitt enthält ein Verfahren zur Konfiguration eines IPv4-Routers sowie ein Beispiel. Informationen zur Konfiguration eines IPv6-konformen Routers finden Sie unter So konfigurieren Sie einen IPv6-konformen Router.

Da ein Router die Schnittstelle zwischen zwei oder mehr Netzwerken darstellt, müssen Sie jeder physikalischen Netzwerkschnittstelle eines Routers einen einmaligen Namen sowie eine IP-Adresse zuweisen. Somit weist jeder Router einen Hostnamen und eine IP-Adresse auf, die seiner primären Netzwerkschnittstelle zugeordnet sind, sowie mindestens einen zusätzlichen einmaligen Namen und eine IP-Adresse für jede zusätzliche Netzwerkschnittstelle.

Sie können auch das folgende Verfahren verwenden, um ein System mit nur einer physikalischen Schnittstelle (standardmäßig ein Host) als Router zu konfigurieren. Sie können ein System mit einer Schnittstelle als Router konfigurieren, wenn das System als Endpunkt einer PPP-Link verwendet wird (siehe Planning a Dial-up PPP Link in System Administration Guide: Network Services).

Sie können alle Schnittstellen eines Routers während der Installation von Oracle Solaris konfigurieren. Vollständige Anweisungen hierzu finden Sie im Oracle Solaris 10 9/10 Installationshandbuch: Grundinstallationen.

So konfigurieren Sie einen IPv4-Router

Bei den folgenden Anweisungen wird davon ausgegangen, dass Sie nach der Installation Schnittstellen für den Router konfiguriert haben.

Bevor Sie beginnen

Nachdem der Router im Netzwerk installiert wurde, konfigurieren Sie ihn für den Betrieb im lokale Dateien-Modus. Dies wird unter So konfigurieren Sie einen Host für den lokale Dateien-Modus beschrieben. Diese Konfiguration stellt sicher, dass Router auch dann booten, wenn der Netzwerkkonfigurationsserver heruntergefahren ist.

1. Nehmen Sie auf dem System, das als Router konfiguriert werden soll, die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Ab Release Solaris 10 1/06 können Sie mit dem Befehl dladm show-link feststellen, welche Schnittstellen im Router installiert sind.

   # dladm show-link

   Die folgende Ausgabe des Befehls dladm show-link zeigt, dass eine NIC qfe mit vier Schnittstellen und zwei bge-Schnittstellen im System verfügbar sind.

   qfe0 type: legacy mtu: 1500 device: qfe0 qfe1 type: legacy mtu: 1500 device: qfe1 qfe2 type: legacy mtu: 1500 device: qfe0 qfe3 type: legacy mtu: 1500 device: qfe1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1

3. Prüfen Sie, welche Schnittstellen während der Installation im Router konfiguriert und geplumbt (aktiviert) wurden.

   # ifconfig -a

   Die folgende Beispielausgabe des Befehls ifconfig -a zeigt, dass die Schnittstelle qfe0 während der Installation konfiguriert wurde. Diese Schnittstelle befindet sich im Netzwerk 172.16.0.0. Die verbleibenden Schnittstellen auf der qfe-NIC, qfe1 - qfe3, und die bge-Schnittstellen wurden nicht konfiguriert.

   lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 172.16.26.232 netmask ffff0000 broadcast 172.16.26.255 ether 0:3:ba:11:b1:15

4. Konfigurieren und plumben Sie eine weitere Schnittstelle.

   # ifconfig interface plumb up

   Für qfe1 geben Sie z. B. Folgendes ein:

   # ifconfig qfe1 plumb up

   ---

   Hinweis –

   Schnittstellen, die explizit mit dem Befehl ifconfig konfiguriert wurden, behalten ihre Konfiguration nach einem Neustart nicht bei.

   ---

5. Weisen Sie der Schnittstelle eine IPv4-Adresse und eine Netzmaske zu.

   ---

   Achtung –

   Sie können einen IPv4-Router zum Empfang seiner IP-Adresse über das DHCP-Protokoll konfigurieren, aber dies wird nur erfahrenen DHCP-Systemadministratoren empfohlen.

   ---

   # ifconfig interface IPv4-address netmask+netmask

   Um qfe1 beispielsweise die IP-Adresse 192.168.84.3 zuzuweisen, führen Sie einen der folgenden Schritte aus:

   • Bei der traditionellen IPv4-Notation geben Sie Folgendes ein:

     # ifconfig qfe1 192.168.84.3 netmask + 255.255.255.0

   • Bei der CIDR-Notation geben Sie Folgendes ein:

     # ifconfig qfe1 192.168.84.3/24

     Das Präfix /24 weist qfe1 automatisch die Netzmaske 255.255.255.0 zu. Eine Tabelle der CIDR-Präfixe und deren Netzmaskenäquivalente in der getrennten dezimalen Notation finden Sie in Abbildung 2–2.

6. (Optional) Um sicherzustellen, dass die Schnittstellenkonfiguration auch nach einem Neustart beibehalten wird, erstellen Sie für jede physikalische Schnittstelle eine /etc/hostname.Schnittstelle-Datei.

   Beispielsweise können Sie die Dateien /etc/hostname.qfe1 und /etc/hostname.qfe2 erstellen. Dann geben Sie den Hostnamen timbuktu in die Datei /etc/hostname.qfe1 und den Hostnamen timbuktu-201 in die Datei /etc/hostname.qfe1 ein. Weitere Informationen zur Konfiguration von einzelnen Schnittstellen finden Sie unter So konfigurieren Sie eine physikalische Schnittstelle nach der Systeminstallation.

   Nach dem Erstellen dieser Datei müssen Sie einen Neustart zur Konfiguration durchführen:

   # reboot -- -r

7. Geben Sie den Hostnamen und die IP-Adresse jeder Schnittstelle in die /etc/inet/hosts-Datei ein.

   Beispiel:

   172.16.26.232 deadsea #interface for network 172.16.0.0 192.168.200.20 timbuktu #interface for network 192.168.200 192.168.201.20 timbuktu-201 #interface for network 192.168.201 192.168.200.9 gobi 192.168.200.10 mojave 192.168.200.110 saltlake 192.168.200.12 chilean

   Die Schnittstellen timbuktu und timbuktu-201 befinden sich auf dem gleichen System. Denken Sie daran, dass sich die Netzwerkadresse für timbuktu-201 von der Adresse für die Netzwerkschnittstelle für timbuktu unterscheidet. Dieser Unterschied beruht darauf, dass das physikalische Netzwerkmedium des Netzwerks 192.168.201 mit der Netzwerkschnittstelle timbuktu-201 verbunden ist, während das Medium des Netzwerks 192.168.200 an die Schnittstelle timbuktu angeschlossen ist.

8. Unter Solaris 10 11/06 und früheren Releases von Solaris 10 fügen Sie die IP-Adresse und den Hostnamen jeder neuen Schnittstelle in die /etc/inet/ipnodes-Datei oder in die entsprechende ipnodes-Datenbank ein.

   Beispiel:

   vi /etc/inet/ipnodes 172.16.26.232 deadsea #interface for network 172.16.0.0 192.168.200.20 timbuktu #interface for network 192.168.200 192.168.201.20 timbuktu-201 #interface for network 192.168.201

9. Ist der Router mit einem Netzwerk verbunden, das über Teilnetze verfügt, geben Sie die Netzwerknummer und die Netzmaske in die /etc/inet/netmasks-Datei ein.

   • Bei der herkömmlichen IPv4-Adress-Notation wie 192.168.83.0 geben Sie z. B. Folgendes ein:

     192.168.83.0 255.255.255.0

   • Bei CIDR-Adressen verwenden Sie die getrennte dezimale Notation für das Präfix im Eintrag der /etc/inet/netmask-Datei. Netzwerkpräfixe und deren Entsprechungen in der getrennten dezimalen Notation finden Sie in Abbildung 2–2. Beispielsweise können Sie den folgenden Eintrag in die /etc/netmasks-Datei eingeben, um das CIDR-Netzwerkpräfix 192.168.3.0/22 auszudrücken:

     192.168.3.0 255.255.252.0

10. Aktivieren Sie die IPv4-Paketweiterleitung auf dem Router.

    Geben Sie einen der folgenden Befehle ein, um die Paketweiterleitung zu aktivieren:

    • Verwenden Sie entweder den routeadm-Befehl:

      # routeadm -e ipv4-forwarding -u

    • Oder verwenden Sie den folgenden Service Management Facility (SMF)-Befehl:

      # svcadm enable ipv4-forwarding

    Jetzt kann der Router Pakete über das lokale Netzwerk hinaus weiterleiten. Außerdem unterstützt der Router das statische Routing, ein Prozess, bei dem Sie der Routing-Tabelle manuell Routen hinzufügen. Wenn das statische Routing für dieses System verwendet werden soll, ist die Routerkonfiguration abgeschlossen. Sie müssen jedoch die Routen in der Routing-Tabelle des Systems pflegen. Informationen zum Hinzufügen von Routen finden Sie unter Konfiguration von Routen und in der Manpage route(1M).

11. (Optional) Starten Sie ein Routing-Protokoll.

    Der Routing-Daemon /usr/sbin/in.routed aktualisiert automatisch die Routing-Tabelle; ein Prozess, der als dynamisches Routing bezeichnet wird. Aktivieren Sie die standardmäßigen IPv4-Routing-Protokolle mit einem der folgenden Verfahren:

    • Verwenden Sie entweder den routeadm-Befehl:

      # routeadm -e ipv4-routing -u

    • Verwenden Sie den folgenden SMF-Befehl zum Starten eines Routing-Protokolls wie z. B. RIP.

      # svcadm enable route:default

      Das dem in.routed-Daemon zugewiesene SMF FMRI ist svc:/network/routing/route.

    Weitere Informationen zum routeadm-Befehl finden Sie in der Manpage routeadm(1M).

Beispiel 5–4 Konfiguration des Standard-Routers für ein Netzwerk

Im folgenden Beispiel wird gezeigt, wie Sie ein System mit mehreren Schnittstellen aufrüsten, damit es zu einem Standard-Router wird. Das Ziel besteht darin, den in Abbildung 5–3 gezeigten Router 2 zum Standard-Router für das Netzwerk 172.20.1.0 zu machen. Router 2 enthält zwei verdrahtete Netzwerkverbindungen, eine Verbindung zum Netzwerk 172.20.1.0 und eine weitere zum Netzwerk 10.0.5.0. Bei diesem Beispiel wird davon ausgegangen, dass der Router im lokale Dateien-Modus betrieben wird, der unter So konfigurieren Sie einen Host für den lokale Dateien-Modus beschrieben wird.

Nachdem Sie sich als Superuser oder in einer äquivalenten Rolle angemeldet haben, können Sie den Status der Schnittstellen des Systems überprüfen.Ab Solaris 10 1/06 können Sie den Befehl dladm wie folgt verwenden:

# dladm show-link
ce0             type: legacy    mtu: 1500       device: ce0 
bge0            type: non-vlan  mtu: 1500       device: bge0 
bge1            type: non-vlan  mtu: 1500       device: bge1

# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 172.20.1.10 netmask ffff0000 broadcast 172.20.10.100
        ether 8:0:20:c1:1b:c6 

Die Ausgabe des Befehls dladm show-link zeigt, dass drei Links auf dem System verfügbar sind. Nur die Schnittstelle ce0 wurde geplumbt (aktiviert). Sie würden jetzt mit der Konfiguration des Standard-Routers beginnen, indem Sie die Schnittstelle bge0 mit dem Netzwerk 10.0.5.0 verbinden. Dann plumben (aktivieren) Sie die Schnittstelle und sorgen so dafür, dass die Konfiguration auch nach einem Neustart beibehalten wird.

# ifconfig bge0 plumb up
# ifconfig bge0 10.0.5.10
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 172.20.1.10 netmask ffff0000 broadcast 172.255.255.255
        ether 8:0:20:c1:1b:c6 
bge0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 10.0.5.10 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:e5:95:c4
 # vi /etc/hostname.bge0
10.0.5.10
255.0.0.0

Booten Sie das System, um die neue Konfiguration zu übernehmen:

# reboot -- -r

Setzen Sie fort, indem Sie die folgenden Netzwerkdatenbanken mit Informationen zur neu geplumbten Schnittstelle und dem Netzwerk konfigurieren, mit dem sie verbunden ist:

# vi /etc/inet/hosts
127.0.0.1       localhost
172.20.1.10        router2        #interface for network 172.20.1
10.0.5.10          router2-out    #interface for network 10.0.5
# vi /etc/inet/netmasks
172.20.1.0    255.255.0.0
10.0.5.0      255.0.0.0

Abschließend verwenden Sie SMF, um die Paketweiterleitung zu aktivieren und starten dann den in.routed-Routing-Daemon.

# svcadm enable ipv4-forwarding
# svcadm enable route:default

Jetzt sind IPv4-Paketweiterleitung und dynamisches Routing über RIP auf Router 2 aktiviert. Die Standard-Routerkonfiguration für das Netzwerk 172.20.1.0 ist jedoch noch nicht abgeschlossen. Sie müssen noch Folgendes ausführen:

• Ändern Sie jeden Host in 172.10.1.10, so dass er seine Routing-Informationen vom neuen Standard-Router bezieht. Weitere Informationen hierzu finden Sie unter So aktivieren Sie statisches Routing auf einem Host mit einer Schnittstelle.

• Definieren Sie in der Routing-Tabelle von Router 2 eine statische Route zum Grenzrouter. Ausführliche Informationen finden Sie unter Routing-Tabellen und Routing-Typen.

Routing-Tabellen und Routing-Typen

Sowohl Router als auch Hosts pflegen eine Routing-Tabelle. Der Routing-Daemon auf jedem System aktualisiert die Tabelle mit allen bekannten Routen. Der Systemkernel liest die Routing-Tabelle ein, bevor Pakete an das lokale Netzwerk weitergeleitet werden. Die Routing-Tabelle enthält die IP-Adressen der Netzwerke, die dem System bekannt sind, einschließlich dem lokalen Standardnetzwerk des Systems. Darüber hinaus führt die Tabelle die IP-Adresse eines Gateway-Systems für jedes bekannte Netzwerk auf. Ein Gateway ist ein System, das abgehende Pakete empfangen und einen Hop über das lokale Netzwerk hinaus weiterleiten kann. Im Folgenden ist eine einfache Routing-Tabelle für ein System in einem IPv4-Netzwerk aufgeführt:

Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
default              172.20.1.10          UG       1    532   ce0
224.0.0.0            10.0.5.100           U        1      0   bge0
10.0.0.0             10.0.5.100           U        1      0   bge0
127.0.0.1            127.0.0.1            UH       1     57   lo0

Sie können zwei Routing-Arten auf einem Oracle Solaris-System konfigurieren: statisches Routing und dynamisches Routing. Ein System kann entweder mit einer oder mit beiden Routing-Arten konfiguriert werden. Ein System, in dem das dynamische Routing umgesetzt wird, verlässt sich zur Verwaltung der Routing-Tabellen auf Routing-Protokolle, z. B. RIP für IPv4- und RIPng für IPv6-Netzwerke. Ein System, das nur statisches Routing ausführt, verlässt sich nicht auf ein Routing-Protokoll zur Angabe der Routing-Informationen und zum Aktualisieren der Routing-Tabelle. Stattdessen müssen Sie die dem System bekannten Routen manuell über den Befehl route einpflegen. Weitere Informationen finden Sie in der Manpage route(1M).

Wenn Sie das Routing für das lokale Netzwerk oder ein autonomes System konfigurieren, müssen Sie berücksichtigen, welche Routing-Art auf den jeweiligen Routern und Hosts unterstützt wird.

Die folgende Tabelle zeigt die verschiedenen Routing-Typen und die Netzwerk-Szenarien, in denen die Routing-Typen eingesetzt werden.

Das in Abbildung 5–3 gezeigte autonome System kombiniert sowohl statisches als auch dynamisches Routing.

Konfiguration von Routen

Zum Umsetzen des dynamischen Routings für ein IPv4-Netzwerk verwenden Sie den Befehl routeadm oder svcadm, um den in.routed-Routing-Daemon zu starten. Anweisungen hierzu finden Sie unter So konfigurieren Sie einen IPv4-Router. Das dynamische Routing ist die bevorzugte Strategie für die meisten Netzwerke und autonomen Systeme. Eventuell erfordern Ihre Netzwerktopologie oder ein bestimmtes System in Ihrem Netzwerk jedoch statisches Routing. In diesem Fall müssen Sie die Routing-Tabelle des Systems manuell bearbeiten, um die bekannten Route zum Gateway einzupflegen. Das nächste Verfahren zeigt, wie eine statische Route hinzugefügt wird.

Zwei Routen zum gleichen Ziel führen nicht automatisch dazu, dass das System einen Lastenausgleich oder ein Failover ausführt. Wenn Sie diese Fähigkeiten benötigen, verwenden Sie IPMP. Dies wird in Kapitel 30Einführung in IPMP (Übersicht) beschrieben.

So fügen Sie einer Routing-Tabelle eine statische Route hinzu

1. Zeigen Sie den aktuellen Status der Routing-Tabelle an.

   Verwenden Sie Ihr normales Benutzerkonto, und geben Sie den folgenden netstat-Befehl ein:

   % netstat -rn

   Der Befehl sollte eine Ausgabe ähnlich der Folgenden erzeugen:

   Routing Table: IPv4 Destination Gateway Flags Ref Use Interface -------------------- -------------------- ----- ----- ------ --------- 192.168.5.125 192.168.5.10 U 1 5879 ipge0 224.0.0.0 198.168.5.10 U 1 0 ipge0 default 192.168.5.10 UG 1 91908 127.0.0.1 127.0.0.1 UH 1 811302 lo0

2. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

3. (Optional) Löschen Sie die vorhandenen Einträge aus der Routing-Tabelle.

   # route flush

4. Fügen Sie eine Route hinzu, die auch nach dem Neustart eines Systems beibehalten wird.

   # route -p add -net network-address -gateway gateway-address

   -p

   Erstellt eine Route, die auch nach dem Neustart eines Systems beibehalten wird. Wenn diese Route nur für die aktuelle Sitzung gelten soll, verwenden Sie die Option -p nicht.

   add

   Gibt an, dass Sie die folgende Route hinzufügen möchten.

   -net Netzwerkadresse

   Gibt an, dass die Route beim Netzwerk mit der Adresse in Netzwerkadresse endet.

   -gateway Gatewayadresse

   Gibt an, dass das Gateway-System für die angegebene Route die IP-Adresse Gatewayadresse hat.

Beispiel 5–5 Hinzufügen einer statischen Route zu einer Routing-Tabelle

Das folgende Beispiel zeigt, wie Sie einem System eine statische Route hinzufügen. Das System ist Router 2, der Standard-Router für das Netzwerk 172.20.1.0 wird in Abbildung 5–3 gezeigt. In Beispiel 5–4 ist Router 2 für das dynamische Routing konfiguriert. Damit Router 2 besser als Standard-Router für die Hosts im Netzwerk 172.20.1.0 arbeiten kann, benötigt er eine statische Route zum Grenzrouter des AS, 10.0.5.150 .

Zum Anzeigen der Routing-Tabelle auf Router 2 geben Sie Folgendes ein:

# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
default              172.20.1.10          UG        1    249 ce0
224.0.0.0            172.20.1.10          U         1      0 ce0
10.0.5.0             10.0.5.20            U         1     78 bge0
127.0.0.1            127.0.0.1            UH        1     57 lo0

Die Routing-Tabelle zeigt zwei Routen an, die Router 2 bekannt sind. Die Standardroute verwendet die Schnittstelle 172.20.1.10 von Router 2 als Gateway. Die zweite Route 10.0.5.0 wurde vom in.routed-Daemon ermittelt, der auf Router 2 läuft. Das Gateway für diese Route ist Router 1 und besitzt die IP-Adresse 10.0.5.20 .

Um eine zweite Route zum Netzwerk 10.0.5.0 hinzuzufügen, das seinen Gateway als Grenzrouter verwendet, geben Sie Folgendes ein:

# route -p add -net 10.0.5.0/24 -gateway 10.0.5.150/24
add net 10.0.5.0: gateway 10.0.5.150

Jetzt enthält die Routing-Tabelle eine Route für den Grenzrouter mit der IP-Adresse 10.0.5.150/24.

# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
default              172.20.1.10          UG        1    249 ce0
224.0.0.0            172.20.1.10          U         1      0 ce0
10.0.5.0             10.0.5.20            U         1     78 bge0
10.0.5.0             10.0.5.150           U         1    375 bge0
127.0.0.1            127.0.0.1            UH        1     57 lo0

Konfiguration von Multihomed-Hosts

Unter Oracle Solaris wird ein System mit mehreren Schnittstellen als ein Multihomed-Host bezeichnet. Ein Multihomed-Host leitet keine IP-Pakete weiter. Sie können einen Multihomed-Host jedoch so konfigurieren, dass er Routing-Protokolle ausführt. In der Regel werden die folgenden Systemarten als Multihomed-Hosts konfiguriert:

• NFS-Server, insbesondere die Server, die als große Datencenter fungieren, können an mehrere Netzwerke angehängt werden, damit Dateien gemeinsam von einem großen Benutzerpool genutzt werden können. Diese Server müssen keine Routing-Tabellen pflegen.

• Datenbankserver können über mehrere Netzwerkschnittstellen verfügen, um einem großen Benutzerpool Ressourcen bereitstellen zu können (wie NFS-Server).

• Firewall-Gateways sind Systeme, die eine Verbindung zwischen einem Firmennetzwerk und einem öffentlichen Netzwerk wie z. B. dem Internet herstellen. Firewalls werden von Administratoren als Sicherheitsmaßnahme eingerichtet. Wenn ein Host als Firewall konfiguriert ist, lässt er keine Pakete zwischen den Netzwerken passieren, die an die Schnittstellen des Hosts angeschlossen sind. Dennoch kann der Host für autorisierte Benutzer standardmäßige TCP/IP-Services, z. B. ssh bereitstellen.

  ---

  Hinweis –

  Wenn Multihomed-Hosts verschiedene Firewalltypen an ihren Schnittstellen aufweisen, müssen Sie darauf achten, die Hosts-Pakete nicht unabsichtlich zu unterbrechen. Dieses Problem tritt insbesondere bei statusbehafteten Firewalls auf. Eine Lösung könnte das Konfigurieren einer statusfreien Firewall sein. Weitere Informationen zu Firewalls finden Sie unter Firewall Systems in System Administration Guide: Security Services oder in der Dokumentation Ihrer Firewall.

  ---

So erstellen Sie einen Multihomed-Host

1. Nehmen Sie auf dem künftigen Multihomed-Host die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Konfigurieren und plumben (aktivieren) Sie jede zusätzliche Netzwerkschnittstelle, die nicht während der Installation von Oracle Solaris konfiguriert wurde.

   Lesen Sie dazu So konfigurieren Sie eine physikalische Schnittstelle nach der Systeminstallation.

3. Vergewissern Sie sich, dass die IP-Weiterleitung am Multihomed-Host nicht aktiviert ist.

   # routeadm

   Mit dem Befehl routeadm ohne zusätzliche Optionen rufen Sie den Status der Routing-Daemons ab. Die folgende Ausgabe des routeadm-Befehls zeigt, dass die IPv4-Weiterleitung aktiviert ist:

   Configuration Current Current Option Configuration System State --------------------------------------------------------------- IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled disabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"

4. Deaktivieren Sie die Paketweiterleitung, sofern diese auf dem System aktiviert ist.

   Verwenden Sie einen der folgenden Befehle:

   • Beim routeadm-Befehl geben Sie Folgendes ein:

     # routeadm -d ipv4-forwarding -u

   • Für SMF geben Sie Folgendes ein:

     # svcadm disable ipv4-forwarding

5. (Optional) Aktivieren Sie das dynamische Routing für den Multihomed-Host.

   Geben Sie einen der folgenden Befehle ein, um den in.routed-Daemon zu aktivieren:

   • Beim routeadm-Befehl geben Sie Folgendes ein:

     # routeadm -e ipv4-routing -u

   • Für SMF geben Sie Folgendes ein:

     # svcadm enable route:default

Beispiel 5–6 Konfiguration eines Multihomed-Host

Im folgenden Beispiel wird gezeigt, wie Sie den in Abbildung 5–3 vorgestellten Multihomed-Host konfigurieren. In diesem Beispiel lautet der Hostname des Systems hostc. Dieser Host verfügt über zwei Schnittstellen, die beide mit dem Netzwerk 192.168.5.0 verbunden sind.

Zu Beginn zeigen Sie den Status der Systemschnittstellen an.

# dladm show-link
hme0           type: legacy    mtu: 1500       device: hme0 
qfe0           type: legacy    mtu: 1500       device: qfe0 
qfe1           type: legacy    mtu: 1500       device: qfe1 
qfe2           type: legacy    mtu: 1500       device: qfe2 
qfe3           type: legacy    mtu: 1500       device: qfe3
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
      inet 192.168.5.82 netmask ff000000 broadcast 192.255.255.255
      ether 8:0:20:c1:1b:c6 
 

Der dladm show-link-Befehl meldet, dass hostc über zwei Schnittstellen mit insgesamt fünf möglichen Links verfügt. Jedoch wurde nur hme0 geplumbt (aktiviert). Um hostc als einen Multihomed-Host zu konfigurieren, müssen Sie qfe0 oder einen anderen Link auf der NIC qfe hinzufügen. Zunächst verbinden Sie die Schnittstelle qfe0 mit dem Netzwerk 192.168.5.0. Dann plumben (aktivieren) Sie die Schnittstelle qfe0 und sorgen so dafür, dass die Schnittstellenkonfiguration auch nach einem Neustart beibehalten wird.

# ifconfig qf0 plumb up
# ifconfig qfe0 192.168.5.85
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 192.168.5.82 netmask ff0000 broadcast 192.255.255.255
        ether 8:0:20:c1:1b:c6 
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 192.168.5.85 netmask ff000000 broadcast 192.255.255.255
        ether 8:0:20:e1:3b:c4
 # vi /etc/hostname.qfe0
192.168.5.85
255.0.0.0

Booten Sie das System neu, um die Konfiguration zu übernehmen:

# reboot -- -r

Als Nächstes fügen Sie die Schnittstelle qfe0 zur hosts -Datenbank hinzu:

# vi /etc/inet/hosts
127.0.0.1           localhost
192.168.5.82        host3    #primary network interface for host3
192.168.5.85        host3-2  #second interface

Dann prüfen Sie den Status der Paketweiterleitung und des Routings auf host3:

# routeadm
              Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
               IPv4 routing   enabled              enabled
               IPv6 routing   disabled             disabled
            IPv4 forwarding   enabled              enabled
            IPv6 forwarding   disabled             disabled

           Routing services   "route:default ripng:default"

Der routeadm-Befehl meldet, dass das dynamische Routing über den in.routed-Daemon und die Paketweiterleitung derzeit aktiviert sind. Die Paketweiterleitung muss jedoch deaktiviert sein:

# svcadm disable ipv4-forwarding

Sie können die Paketweiterleitung auch mit den routeadm-Befehlen deaktivieren. Lesen Sie dazu So erstellen Sie einen Multihomed-Host Nachdem die Paketweiterleitung deaktiviert wurde, wird host3 zu einem Multihomed-Host.

Konfiguration des Routings auf Systemen mit einer Schnittstelle

Hosts mit einer Schnittstelle müssen eine Form des Routings implementieren. Wenn der Host seine Routen von einem oder mehreren lokalen Standard-Routern bezieht, müssen Sie den Host zur Verwendung des statischen Routings konfigurieren. Andernfalls wird dynamisches Routing für den Host empfohlen. Die folgenden Verfahren enthalten die Anweisungen zum Umsetzen beider Routing-Arten.

So aktivieren Sie statisches Routing auf einem Host mit einer Schnittstelle

Mit dem folgenden Verfahren wird statisches Routing auf einem Host mit einer Schnittstelle konfiguriert. Hosts, die statisches Routing verwenden, führen kein dynamisches Routing-Protokoll wie z. B. RIP aus. Stattdessen muss sich der Host auf die Services eines Standard-Routers für Routing-Informationen verlassen. Die Abbildung Topologie eines autonomen IPv4-Systems zeigt verschiedene Standard-Router und deren Client-Hosts. Wenn Sie den Namen eines Standard-Routers bei der Installation eines bestimmten Hosts angegeben haben, wurde das statische Routing bereits auf diesem Host konfiguriert.

Sie können auch das folgende Verfahren verwenden, um statisches Routing auf einem Multihomed-Host zu konfigurieren.

Informationen zur /etc/defaultrouter-Datei finden Sie unter /etc/defaultrouter-Datei. Informationen zum statischen Routing und der Routing-Tabelle finden Sie unter Routing-Tabellen und Routing-Typen.

1. Nehmen Sie auf einem Host mit einer Schnittstelle die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Prüfen Sie, ob die /etc/defaultrouter-Datei auf dem Host vorhanden ist.

   # cd /etc # ls | grep defaultrouter

3. Öffnen Sie einen Texteditor, um die /etc/defaultrouter-Datei zu erstellen oder zu bearbeiten.

4. Fügen Sie einen Eintrag für den Standard-Router hinzu.

   # vi /etc/defaultrouter router-IP

   Router-IP steht für die IP-Adresse des Standard-Routers, den der Host verwenden soll.

5. Prüfen Sie, ob Routing und Paketweiterleitung auf dem Host ausgeführt werden oder nicht.

   # routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------- IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding disabled disabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"

6. Fügen Sie einen Eintrag für den Standard-Router in die lokale /etc/inet/hosts-Datei ein.

   Informationen zur Konfiguration der /etc/inet/hosts-Datei finden Sie unter So ändern Sie die IPv4-Adresse und andere Netzwerkkonfigurationsparameter.

Beispiel 5–7 Konfiguration eines Standard-Routers und des statischen Routings für einen Host mit einer Schnittstelle

Das folgende Beispiel zeigt, wie statisches Routing für hostb, einem Host mit einer Schnittstelle im Netzwerk 172.20.1.0, konfiguriert wird. Das Netzwerk wird in Abbildung 5–3 gezeigt. hostb muss Router 2 als Standard-Router verwenden.

Als Erstes melden Sie sich als Superuser bei hostb an oder nehmen eine entsprechende Rolle an. Dann prüfen Sie, ob die /etc/defaultrouter-Datei auf dem Host vorhanden ist:

# cd /etc
# ls | grep defaultrouter

Keine Antwort von grep deutet darauf hin, dass Sie die /etc/defaultrouter-Datei erstellen müssen.

# vi /etc/defaultrouter
172.20.1.10

Der Eintrag in der /etc/defaultrouter-Datei ist die IP-Adresse der Schnittstelle auf Router 2, die mit dem Netzwerk 172.20.1.0 verbunden ist. Als Nächstes prüfen Sie, ob Paketweiterleitung oder Routing derzeit auf dem Host aktiviert sind.

# routeadm
   Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
               IPv4 routing   disabled             disabled
               IPv6 routing   disabled             disabled
            IPv4 forwarding   enabled              enabled
            IPv6 forwarding   disabled             disabled

           Routing services   "route:default ripng:default"

Die Paketweiterleitung ist auf diesem Host aktiviert. Deaktivieren Sie die Paketweiterleitung wie folgt:

# svcadm disable ipv4-forwarding

Abschließend stellen Sie sicher, dass die /etc/inet/hosts-Datei auf dem Host einen Eintrag für den neuen Standard-Router enthält.

# vi /etc/inet/hosts
127.0.0.1           localhost
172.20.1.18         host2    #primary network interface for host2
172.20.1.10         router2  #default router for host2

So aktivieren Sie das dynamische Routing auf einem Host mit einer Schnittstelle

Dynamisches Routing stellt den einfachsten Weg dar, das Routing auf einem Host zu verwalten. Hosts, die dynamisches Routing verwenden, führen die Routing-Protokolle aus, die vom in.routed-Daemon für IPv4 oder dem in.ripngd-Daemon für IPv6 zur Verfügung gestellt werden. Mit dem folgenden Verfahren aktivieren Sie das dynamische IPv4-Routing auf einem Host mit einer Schnittstelle. Weitere Informationen zum dynamischen Routing finden Sie unter Paketweiterleitung und Routing bei IPv4-Netzwerken.

1. Nehmen Sie auf dem Host die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Prüfen Sie, ob die /etc/defaultrouter-Datei vorhanden ist.

   # cd /etc # ls | grep defaultrouter

3. Wenn die /etc/defaultrouter-Datei vorhanden ist, löschen Sie alle darin enthaltenen Einträge.

   Eine leere /etc/defaultrouter-Datei zwingt den Host, dynamisches Routing auszuführen.

4. Prüfen Sie, ob Paketweiterleitung und Routing auf dem Host aktiviert sind.

   # routeadm Configuration Current Current Option Configuration System State --------------------------------------------------------------- IPv4 routing disabled disabled IPv6 routing disabled disabled IPv4 forwarding enabled enabled IPv6 forwarding disabled disabled Routing services "route:default ripng:default"

5. Wenn die Paketweiterleitung aktiviert ist, deaktivieren Sie sie.

   Verwenden Sie einen der folgenden Befehle:

   • Beim routeadm-Befehl geben Sie Folgendes ein:

     # routeadm -d ipv4-forwarding -u

   • Für SMF geben Sie Folgendes ein:

     # svcadm disable ipv4-forwarding

6. Aktivieren Sie die Routing-Protokolle auf dem Host.

   Verwenden Sie einen der folgenden Befehle:

   • Beim routeadm-Befehl geben Sie Folgendes ein:

     # routeadm -e ipv4-routing -u

   • Für SMF geben Sie Folgendes ein:

     # svcadm enable route:default

   Jetzt ist das dynamische IPv4-Routing aktiviert. Die Routing-Tabelle des Hosts wird vom in.routed-Daemon dynamisch gepflegt.

Beispiel 5–8 Ausführen des dynamischen Routings auf einem Host mit einer Schnittstelle

Das folgende Beispiel zeigt, wie das dynamische Routing für hosta, einem Host mit einer Schnittstelle im Netzwerk 192.168.5.0, konfiguriert wird. Das Netzwerk wird in Abbildung 5–3 gezeigt. hosta verwendet derzeit Router 1 als Standard-Router. Jetzt muss hosta jedoch zum Ausführen des dynamischen Routings konfiguriert werden.

Als Erstes melden Sie sich als Superuser bei hosta an oder nehmen eine entsprechende Rolle an. Dann prüfen Sie, ob die /etc/defaultrouter-Datei auf dem Host vorhanden ist:

# cd /etc
# ls | grep defaultrouter
defaultrouter

Die Antwort von grep deutet darauf hin, dass eine /etc/defaultrouter-Datei für hosta vorhanden ist.

# vi /etc/defaultrouter
192.168.5.10

Die Datei besitzt den Eintrag 192.168.5.10 (die IP-Adresse für Router 1). Zum Aktivieren des statischen Routing müssen Sie diesen Eintrag löschen. Als Nächstes überprüfen Sie, ob Paketweiterleitung und Routing bereits für den Host aktiviert sind.

# routeadm   Configuration   Current              Current
                     Option   Configuration        System State
---------------------------------------------------------------
               IPv4 routing   disabled             disabled
               IPv6 routing   disabled             disabled
            IPv4 forwarding   disabled             disabled
            IPv6 forwarding   disabled             disabled

           Routing services   "route:default ripng:default"

Sowohl Routing als auch Paketweiterleitung sind für hosta deaktiviert. Aktivieren Sie das Routing, um die Konfiguration des dynamischen Routings für hosta abzuschließen:

# svcadm enable route:default

Überwachen undModifizieren der Transportschichtservices

Die Transportschichtprotokolle TCP, SCTP und UDP sind Teil des standardmäßigen Oracle Solaris-Pakets. Zur ordnungsgemäßen Ausführung dieser Protokolle ist in der Regel kein Benutzereingriff erforderlich. Dennoch können Umstände an Ihrem Standort es erfordern, die über Transportschichtprotokolle ausgeführten Services zu protokollieren oder zu bearbeiten. Anschließend müssen Sie die Profile für diese Services mithilfe der Service Management Facility (SMF) ändern. Die SMF wird in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration erläutert.

Der inetd-Daemon ist für das Starten der Internet-Standardservices beim Booten eines Systems verantwortlich. Diese Services umfassen Anwendungen, die TCP, SCTP oder UDP als Transportschichtprotokoll verwenden. Sie können entweder die vorhandenen Internet-Services ändern oder mithilfe der SMF-Befehle neue Services hinzufügen. Weitere Informationen zum inetd-Daemon finden Sie unter inetd Internet Services-Daemon.

Vorgänge, die Transportschichtprotokolle erfordern, sind z. B.:

• Das Protokollieren aller eingehenden TCP-Verbindungen

• Das Hinzufügen von Services, die über ein Transportschichtprotokoll ausgeführt werden, z. B. mit SCTP

• Das Konfigurieren der TCP-Wrappers Facility für die Zugangskontrolle

Ausführliche Informationen zum inetd-Daemon finden Sie in der Manpage inetd(1M).

So protokollieren Sie die IP-Adressen aller eingehenden TCP-Verbindungen

1. Nehmen Sie auf dem lokalen System die Rolle eines Netzwerkmanagers an, oder melden Sie sich als Superuser an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Aktivieren Sie die TCP-Verfolgung für alle Services, die vom inetd-Daemon verwaltet werden.

   # inetadm -M tcp_trace=TRUE

So fügen Sie Services hinzu, die das SCTP-Protokoll verwenden

Das SCTP-Transportprotokoll stellt den Protokollen auf der Anwendungsschicht Services ähnlich dem TCP bereit. SCTP ermöglicht jedoch die Kommunikation zwischen zwei Systemen, von denen entweder eines oder beide Multihomed-Hosts sein können. Die SCTP-Verbindung wird als Assoziation bezeichnet. Bei einer Assoziation teilt eine Anwendung die zu übertragenden Daten in einen oder mehrere Datenströme oder Mehrfach-Datenströme (multi-streamed) auf. Eine SCTP-Verbindung kann zu Endpunkten mit mehreren IP-Adressen führen, wodurch diese Verbindungsart insbesondere für Telefonieanwendungen wichtig ist. Wenn IP Filter oder IPsec an Ihrem Standort eingesetzt werden, müssen die Multihoming-Fähigkeiten von SCTP in die Sicherheitsbetrachtungen einbezogen werden. Einige dieser Überlegungen sind in der Manpage sctp(7P) beschrieben.

SCTP ist standardmäßig in Oracle Solaris enthalten und erfordert keine zusätzliche Konfiguration. Eventuell müssen Sie jedoch bestimmte Services auf der Anwendungsschicht zur Verwendung von SCTP konfigurieren. Einige Beispielanwendungen sind echo und discard. Im folgenden Verfahren wird gezeigt, wie Sie einen echo-Service hinzufügen, der ein SCTP 1:1-Socket verwendet.

Darüber hinaus können Sie das folgende Verfahren verwenden, um Services für die Transportschichtprotokolle TCP und UDP hinzuzufügen.

In der folgenden Aufgabe wird gezeigt, wie Sie einen SCTP inet-Service hinzufügen, der vom inetd-Daemon für das SMF-Repository verwaltet wird. Dann wird in der Aufgabe gezeigt, wie der Service mit den Befehlen der Service Management Facility (SMF) hinzugefügt wird.

• Informationen zu den SMF-Befehlen finden Sie unter SMF Command-Line Administrative Utilities in System Administration Guide: Basic Administration.

• Syntaktische Informationen finden Sie in den Manpages für die SMF-Befehle, die in diesem Verfahren genannt werden.

• Ausführliche Informationen zu SMF finden Sie in der Manpage smf(5).

Bevor Sie beginnen

Bevor Sie das folgende Verfahren ausführen, erstellen Sie eine Manifestdatei für den Service. In dem Verfahren wird ein Manifest für den echo-Service mit der Bezeichnung echo.sctp.xml als Beispiel verwendet.

1. Melden Sie sich mit einem Benutzerkonten, das über Schreibrechte für Systemdateien verfügt, beim lokalen System an.

2. Bearbeiten Sie die /etc/services-Datei und fügen Sie eine Definition für den neuen Service hinzu.

   Verwenden Sie bei der Definition des Service die folgende Syntax:

   service-name |port/protocol | aliases

3. Fügen Sie den neuen Service hinzu.

   Wechseln Sie in das Verzeichnis, in dem das Manifest gespeichert ist, und geben Sie Folgendes ein:

   # cd dir-name # svccfg import service-manifest-name

   Die vollständige Syntax des svccfg-Befehls finden Sie in der Manpage svccfg(1M).

   Angenommen, Sie möchten einen neuen SCTP echo-Service mithilfe des Manifests echo.sctp.xml hinzufügen, das momentan im Verzeichnis service.dir gespeichert ist. In diesem Fall geben Sie Folgendes ein:

   # cd service.dir # svccfg import echo.sctp.xml

4. Prüfen Sie, ob das Servicemanifest hinzugefügt wurde:

   # svcs FMRI

   Als FMRI-Argument verwenden Sie den Fault Managed Resource Identifier (FMRI) des Servicemanifests. Für den SCTP echo-Service verwenden Sie beispielsweise den folgenden Befehl:

   # svcs svc:/network/echo:sctp_stream

   Dieser Befehl sollte eine Ausgabe ähnlich der Folgenden erzeugen:

   STATE STIME FMRI disabled 16:17:00 svc:/network/echo:sctp_stream

   Ausführliche Informationen zum svcs-Befehl finden Sie in der Manpage svcs(1).

   Die Ausgabe deutet darauf hin, dass das neue Servicemanifest derzeit deaktiviert ist.

5. Listen Sie die Eigenschaften des Services auf, um festzustellen, ob Sie Änderungen vornehmen müssen.

   # inetadm -l FMRI

   Ausführliche Informationen zum inetadm-Befehl finden Sie in der Manpage inetadm(1M).

   Für den SCTP echo-Service geben Sie z. B. Folgendes ein:

   # inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" . . default tcp_trace=FALSE default tcp_wrappers=FALSE

6. Aktivieren Sie den neuen Service:

   # inetadm -e FMRI

7. Prüfen Sie, ob der Service aktiviert wurde:

   Für den neuen echo-Service geben Sie z. B. Folgendes ein:

   # inetadm | grep sctp_stream . . enabled online svc:/network/echo:sctp_stream

Beispiel 5–9 Hinzufügen eines Services, der das SCTP-Transportprotokoll verwendet

Im folgenden Beispiel werden die Befehle und Dateieinträge vorgestellt, mit denen Sie dafür sorgen, dass der echo-Service das SCTP-Transportschichtprotokoll verwendet.

$ cat /etc/services
.
.
echo            7/tcp
echo            7/udp
echo            7/sctp

# cd service.dir

	# svccfg import echo.sctp.xml

# svcs network/echo*
	STATE          STIME    FMRI
	disabled       15:46:44 svc:/network/echo:dgram
	disabled       15:46:44 svc:/network/echo:stream
	disabled       16:17:00 svc:/network/echo:sctp_stream

# inetadm -l svc:/network/echo:sctp_stream
	SCOPE    NAME=VALUE
	         name="echo"
	         endpoint_type="stream"
	         proto="sctp"
	         isrpc=FALSE
	         wait=FALSE
	         exec="/usr/lib/inet/in.echod -s"
	         user="root"
	default  bind_addr=""
	default  bind_fail_max=-1
	default  bind_fail_interval=-1
	default  max_con_rate=-1
	default  max_copies=-1
	default  con_rate_offline=-1
	default  failrate_cnt=40
	default  failrate_interval=60
	default  inherit_env=TRUE
	default  tcp_trace=FALSE
	default  tcp_wrappers=FALSE

# inetadm -e svc:/network/echo:sctp_stream

# inetadm | grep echo
	disabled  disabled       svc:/network/echo:stream
	disabled  disabled       svc:/network/echo:dgram
	enabled   online         svc:/network/echo:sctp_stream

So verwenden Sie TCP-Wrapper zur Kontrolle des Zugriffs auf TCP-Services

Das tcpd-Programm implementiert TCP-Wrapper. TCP-Wrapper stellen eine Sicherheitsmaßnahme für Service-Daemons wie ftpd dar, indem sie zwischen dem Daemon und den eingehenden Serviceanforderungen stehen. TCP-Wrapper protokollieren erfolgreiche und nicht erfolgreiche Verbindungsversuche. Darüber hinaus stellen TCP-Wrapper eine Zugriffskontrolle bereit, indem sie eine Verbindung abhängig vom Ursprung der Anforderung zulassen oder verweigern. Sie verwenden TCP-Wrapper zum Schutz von Daemons wie z. B. SSH, Telnet und FTP. Auch die Anwendung sendmail kann TCP-Wrapper verwenden, wie unter Support for TCP Wrappers From Version 8.12 of sendmail in System Administration Guide: Network Services beschrieben.

1. Nehmen Sie auf dem lokalen System die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Aktivieren Sie die TCP-Wrapper.

   # inetadm -M tcp_wrappers=TRUE

3. Konfigurieren Sie die Zugriffskontroll-Richtlinie der TCP-Wrapper gemäß der Beschreibung in der Manpage hosts_access(3)

   Diese Manpage finden Sie im Verzeichnis /usr/sfw/man auf der SFW CD-ROM, die zusammen mit der Oracle Solaris CD-ROM ausgeliefert wird.

Verwalten der Schnittstellen in Solaris 10 3/05

In diesem Abschnitt sind die folgenden Aufgaben zur Verwaltung von physikalischen Schnittstellen enthalten:

• Hinzufügen von physikalischen Schnittstellen nach der Systeminstallation

• Hinzufügen eines virtuellen lokalen Netzwerks (VLAN) zu einem Netzwerkadapter

Neuerungen in diesem Abschnitt

Dieser Abschnitt enthält ausschließlich Informationen zur Konfiguration von Schnittstellen für Benutzer von Solaris 10 3/05. Wenn Sie ein Update auf Oracle Solaris 10 verwenden, lesen Sie Chapter 6, Verwalten von Netzwerkschnittstellen (Aufgaben). Eine vollständige Liste der neuen Oracle Solaris-Funktionen und eine Beschreibung der Oracle Solaris-Versionen finden Sie im Handbuch Neuerungen in Oracle Solaris 9 10/10.

Konfiguration physikalischer Schnittstellen unter Solaris 10 3/05

Ein Oracle Solaris-basiertes System verwendet in der Regel zwei Arten von Schnittstellen: physikalisch und logisch. Physikalische Schnittstellen bestehen aus einem Softwaretreiber und einem Anschluss, über den sie eine Verbindung mit dem Netzwerkmedium, z. B. ein Ethernet-Kabel, herstellen. Logische Schnittstellen sind logisch in vorhandenen physikalischen Schnittstellen konfiguriert, z. B. Schnittstellen, die für Tunnel oder mit IPv6-Adressen konfiguriert wurden. In diesem Abschnitt wird beschrieben, wie Sie physikalische Schnittstellen nach der Installation konfigurieren. Anweisungen zur Konfiguration von logischen Schnittstellen sind bei den Aufgaben für Funktionen aufgeführt, die logische Schnittstellen erfordern, z. B. So konfigurieren Sie einen IPv6-über-IPv4-Tunnel.

Zu den physikalischen Schnittstellen gehören Schnittstellen, die in das System integriert sind und separat erworbene Schnittstellen. Jede Schnittstelle befindet sich auf einer Netzwerkschnittstellenkarte (NIC).

Integrierte NICs sind bereits beim Kauf auf einem System vorhanden. Ein Beispiel einer Schnittstelle auf einer integrierten NIC ist die primäre Netzwerkschnittstelle, z. B. eri0 oder hme0. Die primäre Netzwerkschnittstelle eines Systems muss bereits während der Installation konfiguriert werden.

NICs wie eri und hme verfügen über nur eine Schnittstelle. Es gibt jedoch auch zahlreiche NICs mit mehreren Schnittstellen. Eine NIC mit mehreren Schnittstellen wie qfe verfügt über vier Schnittstellen, qfe0 – qfe3. Das Oracle Solaris-Installationsprogramm erkennt alle bei der Installation verfügbaren Schnittstellen und fragt, ob diese Schnittstellen konfiguriert werden sollen. Sie können diese Schnittstellen dann während des Bootens oder zu einem späteren Zeitpunkt konfigurieren.

NICs werden auch als Netzwerkadapter bezeichnet.

Zusätzlich zu den integrierten NICs können Sie separat erworbene NICs zu einem System hinzufügen. Sie bauen eine separat erworbene NIC gemäß den Anweisungen des Herstellers ein. Dann müssen Sie die Schnittstellen auf der NIC konfigurieren, so dass sie für die Weitergabe von Daten verwendet werden können.

Im Folgenden sind Gründe aufgeführt, warum nach der Installation zusätzliche Schnittstellen auf einem System konfiguriert werden müssen:

• Sie möchten ein System so aufrüsten, dass es ein Multihomed-Host wird. Weitere Informationen zu Multihomed-Hosts finden Sie unter Konfiguration von Multihomed-Hosts.

• Sie möchten einen Host zu einem Router ändern. Anweisungen zur Konfiguration von Routern finden Sie unter Konfiguration eines IPv4-Routers.

• Sie möchten eine Schnittstelle zu einer IPMP-Gruppe hinzufügen. Informationen zu Schnittstellen in einer IPMP-Gruppe finden Sie unter IPMP-Schnittstellenkonfigurationen.

So fügen Sie eine physikalische Schnittstelle nach der Installation hinzu (nur Solaris10 3/05)

Bevor Sie beginnen

Legen Sie die IPv4-Adressen fest, die Sie für die zusätzlichen Schnittstellen verwenden möchten.

Die zu konfigurierende physikalische Schnittstelle muss bereits auf dem System vorhanden sein. Informationen zur Installation separat erworbener NIC-Hardware finden Sie in der Herstellerdokumentation, die mit der NIC ausgeliefert wurde.

Im folgenden Verfahren wird davon ausgegangen, dass Sie nach der Installation der neuen Schnittstelle einen Neustart zur Übernahme der Konfiguration vorgenommen haben.

Das folgende Verfahren gilt nur für Solaris 10 3/05. Wenn Sie ein Update von Oracle Solaris 10 verwenden, lesen Sie So konfigurieren Sie eine physikalische Schnittstelle nach der Systeminstallation.

1. Nehmen Sie auf dem System mit den zu konfigurierenden Schnittstellen die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Konfigurieren und plumben Sie jede Schnittstelle.

   # ifconfig interface plumb up

   Für qfe0 geben Sie z. B. Folgendes ein:

   # ifconfig qfe0 plumb up

   ---

   Hinweis –

   Schnittstellen, die explizit mit dem Befehl ifconfig konfiguriert wurden, behalten ihre Konfiguration nach einem Neustart nicht bei.

   ---

3. Weisen Sie der Schnittstelle eine IPv4-Adresse und eine Netzmaske zu.

   # ifconfig interface IPv4-address netmask+netmask

   Für qfe0 geben Sie z. B. Folgendes ein:

   # ifconfig qfe0 10.0.0.32 netmask + 255.255.255.0

4. Prüfen Sie, ob die neu konfigurierten Schnittstellen geplumbt (aktiviert) konfiguriert wurden bzw. „UP“ sind.”

   # ifconfig -a

   Prüfen Sie die Statuszeile jeder angezeigten Schnittstelle. Achten Sie darauf, dass die Ausgabe das Flag UP in der Statuszeile enthält, z. B.:

   qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2

5. (Optional) Sorgen Sie dafür, dass die Schnittstellenkonfiguration auch nach einem Neustart beibehalten wird. Führen Sie dazu die folgenden Schritte aus:

   1. Erstellen Sie für jede zu konfigurierende Schnittstelle eine /etc/hostname.Schnittstelle-Datei.

      Zum Hinzufügen der Schnittstelle qfe0 erstellen Sie z. B. die folgende Datei:

      # vi /etc/hostname.qfe0

   2. Bearbeiten Sie die /etc/hostname.Schnittstelle-Datei.

      Geben Sie mindestens die IPv4-Adresse der Schnittstelle in die Datei ein. Sie können auch einen Netzmaske oder andere Konfigurationsinformationen in die Datei eingeben.

      ---

      Hinweis –

      Wie Sie eine IPv6-Adresse für eine Schnittstelle hinzufügen, lesen Sie unter Modifizieren einer IPv6-Schnittstellenkonfiguration für Hosts und Server

      ---

   3. Fügen Sie Einträge für die neuen Schnittstellen in die /etc/inet/hosts-Datei ein.

   4. Führen Sie einen Neustart durch, um die neue Konfiguration zu übernehmen.

      # reboot -- -r

   5. Vergewisseren Sie sich, dass die in der /etc/hostname. Schnittstelle-Datei erstellte Schnittstelle konfiguriert wurde.

      # ifconfig -a

Beispiel 5–10 Konfiguration einer Schnittstelle nach der Systeminstallation

Im folgenden Beispiel wird gezeigt, wie Sie zwei Schnittstellen, qfe0 und qfe1 hinzufügen. Diese Schnittstellen sind als primäre Netzwerkschnittstelle hme0 an das gleiche Netzwerk angehängt. Diese Schnittstellenkonfiguration bleibt wirksam, bis Sie das System neu booten. Ein Beispiel, wie Sie dafür sorgen, dass eine Schnittstellenkonfiguration auch nach einem Neustart beibehalten wird, finden Sie in Beispiel 6–2. Der in diesem Beispiel verwendete Befehl dladm steht jedoch erst ab Solaris 10 1/06 zur Verfügung.

# ifconfig qfe0 plumb up
# ifconfig qfe1 plumb up
# ifconfig qfe0 10.0.0.32 netmask 255.0.0.0
# ifconfig qfe1 10.0.0.33 netmask 255.0.0.0

# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
        inet 127.0.0.1 netmask ff000000 
hme0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
        inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:c1:8b:c3 
qfe0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
        inet 10.0.0.32 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:c8:f4:1d 
qfe1: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4
        inet 10.0.0.33 netmask ff000000 broadcast 10.255.255.255
        ether 8:0:20:c8:f4:1e 

Siehe auch

• Informationen zur Konfiguration einer IPv6-Adresse für eine Schnittstelle finden Sie unter So aktivieren Sie eine IPv6-Schnittstelle für die aktuelle Sitzung.

• Informationen zum Einrichten der Failover-Erkennung und Failback für Schnittstellen, die Network Multipathing (IPMP) verwenden, finden Sie in Kapitel 31Verwaltung von IPMP (Aufgaben).

So entfernen Sie eine physikalische Schnittstelle (nur Solaris 10 3/05)

Das folgende Verfahren gilt nur für Solaris 10 3/05. Wenn Sie ein Update auf Oracle Solaris 10 verwenden, lesen Sie So entfernen Sie eine physikalische Schnittstelle.

1. Nehmen Sie auf dem System mit den zu entfernenden Schnittstellen die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Entfernen Sie die physikalische Schnittstelle.

   Geben Sie den folgenden ifconfig-Befehl ein:

   # ifconfig interfacedown unplumb

   Zum Entfernen der Schnittstelle eri1 geben Sie z. B. Folgendes ein:

   # ifconfig eri1 down unplumb

Konfiguration von VLANs (nur Solaris 10 3/05)

Dieser Abschnitt enthält Informationen zur Konfiguration von VLANs für Benutzer von Solaris 10 3/05. Wenn Sie ein Update auf Oracle Solaris 10 verwenden, lesen Sie Verwalten von virtuellen lokalen Netzwerken.

Virtuelle lokale Netzwerke (VLANs) werden häufig dazu verwendet, Gruppen von Netzwerkbenutzern in überschaubarer Broadcast-Domänen aufzuteilen, um eine logische Segmentierung von Arbeitsgruppen vorzunehmen oder um Sicherheitsrichtlinien in jedem logischen Segment durchzusetzen. Bei mehreren VLANs auf einem Adapter kann ein Server mit einem Adapter über mehrere logische IP-Teilnetze verfügen. Standardmäßig können 512 VLANs für jeden VLAN-konformen Adapter auf Ihrem Server definiert werden.

Falls Ihr Netzwerk keine Mehrfach-VLANs erfordert, können Sie die Standardkonfiguration verwenden und es ist keine erweiterte Konfiguration erforderlich.

Einen Überblick zu VLANs finden Sie unter Einführung in die VLAN-Topologie.

VLANs können auf Grundlage verschiedener Kriterien erstellt werden, aber jedem VLAN muss ein VLAN-Tag oder eine VLAN-ID (VID) zugeordnet sein. Die VID ist ein 12-Bit-Bezeichner zwischen 1 und 4094, der ein VLAN eindeutig gekennzeichnet. Für jede Netzwerkschnittstelle (z. B. ce0, ce1, ce2 usw.) können 512 mögliche VLANs erstellt werden. Da IP-Teilnetze weit verbreitet sind, verwenden Sie IP-Teilnetze beim Einrichten einer VLAN-Netzwerkschnittstelle. Dies bedeutet, dass jede VID, die einer VLAN-Schnittstelle einer physikalischen Netzwerkschnittstelle zugewiesen wird, zu verschiedenen Teilnetzen gehört.

Für das Tagging eines Ethernet-Frames muss ein Tag-Header zum Frame hinzugefügt werden. Der Header wird unmittelbar nach der MAC-Zieladresse und der MAC-Quelladresse eingefügt. Der Tag-Header besteht aus 2 Byte des Ethernet Tag Protocol Identifier (TPID, 0x8100) und 2 Byte der Tag Control Information (TCI). Das Ethernet Tag-Header-Format wird in der folgenden Abbildung gezeigt.

Abbildung 5–4 Ethernet Tag-Header-Format

So werden statische VLANs konfiguriert (nur Solaris 10 3/05)

Dieses Verfahren enthält Informationen zur Konfiguration von VLANs für Benutzer von Solaris 10 3/05. Wenn Sie ein Update auf Oracle Solaris 10 verwenden, lesen Sie So konfigurieren Sie ein VLAN.

1. Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Ermitteln Sie die auf Ihrem System verwendeten Schnittstellentypen.

   Der Netzwerkadapter in Ihrem System wird eventuell nicht durch die Buchstaben ce gekennzeichnet, die für ein VLAN erforderlich sind.

   # ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.156.200.77 netmask ffffff00 broadcast 129.156.200.255

3. Erstellen Sie für jedes VLAN, das für jeden Adapter auf dem Server konfiguriert wird, eine hostname.ceNummer-Datei (hostname6.ceNummer-Datei bei IPv6).

   Verwenden Sie das folgende Benennungsformat, das sowohl die VID als auch den physikalischen Anschlusspunkt (Physical Point Of Attachment, PPA) enthält:

   VLAN logischer PPA = 1000 * VID + Geräte-PPA ce123000 = 1000*123 + 0

   Beispiel: hostname.ce123000

   VLAN logischer PPA = 1000 * VID + Geräte-PPA ce11000 = 1000*11 + 0

   Beispiel: hostname.ce11000

   Dieses Format schränkt die maximale Anzahl der zu konfigurierenden PPAs (Instanzen) in der /etc/path_to_inst-Datei auf 1000 ein.

   Angenommen, auf einem Server hat der Sun Gigabit Ethernet/P 3.0-Adapter die Instanz 0, die zu zwei VLANs mit den VIDs 123 und 224 gehört. In diesem Fall verwenden Sie ce123000 bzw. ce224000 für die zwei VLAN PPAs.

4. Konfigurieren eines virtuellen VLAN- Geräts:

   Sie können die folgenden Beispiele von ifconfig verwenden:

   # ifconfig ce123000 plumb up # ifconfig ce224000 plumb up

   Die Ausgabe von ifconfig -a auf einem System den mit VLAN-Geräten ce123000 und ce224000 sollte Folgendem ähneln:

   # ifconfig -a lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 129.144.131.91 netmask ffffff00 broadcast 129.144.131.255 ether 8:0:20:a4:4f:b8 ce123000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3 inet 199.199.123.3 netmask ffffff00 broadcast 199.199.123.255 ether 8:0:20:a4:4f:b8 ce224000: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 4 inet 199.199.224.3 netmask ffffff00 broadcast 199.199.224.255 ether 8:0:20:a4:4f:b8

5. Richten Sie das VLAN-Tagging und die VLAN-Ports auf dem Switch so ein, dass sie sich mit den VLANs decken, die Sie auf dem Server eingerichtet haben.

   Bei den Beispielen in Schritt 4 richten Sie die VLAN-Ports 123 und 224 auf dem Switch oder die VLAN-Ports 10 und 11 ein.

   Weitere Informationen zum Einrichten des VLAN-Taggings und der Ports entnehmen Sie bitte der Dokumentation, die mit Ihrem Switch ausgeliefert wurde.