프로토콜 등록 정보 관리

인터페이스와 별도로 ipadm 명령을 사용하여 조정 가능 항목이라고도 하는 프로토콜 등록 정보를 구성할 수 있습니다. ipadm은 이전 릴리스에서 조정 가능 항목을 설정하는 데 주로 사용되었던 ndd 명령을 대체합니다. 이 절에서는 선택한 TCP/IP 프로토콜 등록 정보를 사용자 정의하는 절차와 예를 제공합니다.

TCP/IP 등록 정보 설정

TCP/IP 등록 정보는 인터페이스 기반이거나 전역일 수 있습니다. 특정 인터페이스나 영역의 모든 인터페이스에 전역적으로 등록 정보를 적용할 수 있습니다. 전역 등록 정보는 각 비전역 영역에서 다른 설정을 사용할 수 있습니다. 지원되는 프로토콜 등록 정보 목록은 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

일반적으로 TCP/IP 인터넷 프로토콜의 기본 설정으로도 네트워크가 작동하는 데 충분합니다. 하지만 기본 설정이 네트워크 토폴로지에 충분하지 않은 경우 다음 표의 절차에서 이러한 TCP/IP 등록 정보를 사용자 정의하는 방법을 보여줍니다.

이 표에서는 프로토콜의 특정 등록 정보를 구성하는 작업을 설명하고 해당 절차에 대한 링크를 제공합니다.

표 9-2 선택한 TCP/IP 등록 정보 설정

작업	설명	수행 방법
포트를 권한 부여됨으로 표시합니다.	`root` 사용자를 제외하고 액세스를 제한하기 위해 인터페이스의 포트를 예약합니다.	포트 액세스를 `root` 사용자로만 제한하는 방법
멀티홈 호스트에서 수신 또는 전송 중인 IP 패킷의 동작을 사용자 정의합니다.	멀티홈 호스트에서 대칭 경로 지정을 사용자 정의합니다.	멀티홈 호스트에 대칭 경로 지정을 구현하는 방법
프로토콜의 등록 정보에 대한 정보를 표시합니다.	프로토콜의 등록 정보 및 현재 설정을 표시합니다.	IP 인터페이스 및 주소 모니터링

주 - ipadm 도구를 사용하여 네트워크 인터페이스와 IP 주소를 구성하는 절차는 IP 인터페이스 구성을 참조하십시오.

포트 액세스를 `root` 사용자로만 제한하는 방법

TCP, UDP 및 SCTP와 같은 전송 프로토콜에서 포트 1–1023은 루트 권한으로 실행된 프로세스만 이러한 포트에 바인딩할 수 있도록 권한이 부여된 기본 포트입니다. ipadm 명령을 사용하면 권한이 부여된 포트가 되도록 이 지정된 기본 범위를 초과하여 포트를 예약할 수 있습니다. 따라서 루트 프로세스만 해당 포트에 바인딩할 수 있습니다. 이 절차에서는 다음 전송 프로토콜 등록 정보를 사용합니다.

smallest_nonpriv_port
extra_priv_ports

지정된 포트가 일반 포트의 범위 내에 있고 사용될 수 있는지 확인합니다.
```
# ipadm show-prop -p smallest_nonpriv_port protocol
```
여기서 protocol은 권한이 부여된 포트를 구성하려는 프로토콜 유형(예: IP, UDP, ICMP 등)입니다.
명령 출력 결과의 POSSIBLE 필드에는 일반 사용자가 바인딩할 수 있는 포트 번호의 범위가 표시됩니다. 지정된 포트가 이 범위 내에 있으면 권한이 부여된 포트로 설정할 수 있습니다.
예약하려는 포트가 사용 가능하며 권한이 부여된 포트로 이미 표시되지 않았는지 확인합니다.
```
# ipadm show-prop -p extra_priv_ports protocol
```
명령 출력 결과의 CURRENT 필드는 현재 권한 부여됨으로 표시된 포트를 나타냅니다. 지정된 포트가 이 필드 아래에 없는 경우 권한이 부여된 포트로 설정할 수 있습니다.
지정된 포트를 권한이 부여된 포트로 추가합니다.
```
# ipadm set-prop -p extra_priv_ports=port-number protocol
```
권한이 부여된 포트로 추가하거나 제거하려는 각 포트에 대해 다음 중 하나를 반복합니다.
- 포트를 권한이 부여된 포트로 추가하려면 다음 구문을 입력합니다.
```
# ipadm set-prop -p extra_priv_ports+=portnumber protocol
```
  주 - 더하기 기호(+) 수식자를 통해 권한이 부여된 포트가 되도록 포트를 여러 개 할당할 수 있습니다. 더하기 기호 수식자를 사용하여 이러한 포트 목록을 작성할 수 있습니다. 이 구문에 수식자를 사용하면 목록에 포트를 개별적으로 추가할 수 있습니다. 수식자를 사용하지 않으면 할당한 포트가 이전에 권한 부여됨으로 나열된 다른 모든 포트를 대체합니다.
- 권한이 부여된 포트인 지정된 포트를 제거하려면 다음 구문을 입력합니다.
```
# ipadm set-prop -p extra_priv_ports-=portnumber protocol
```
  주 - 빼기 기호(-) 수식자를 사용하면 현재 권한 부여됨으로 나열된 기존 포트에서 포트를 제거할 수 있습니다. 동일한 구문을 사용하여 기본 포트를 포함한 기타 권한이 부여된 포트를 모두 제거할 수 있습니다.
지정된 포트의 새 상태를 확인합니다.
```
# ipadm show-prop -p extra_priv_ports protocol
```
명령 출력 결과에서 지정된 포트가 CURRENT 필드에 포함되어 있는지 확인합니다.

예 9-6 권한이 부여된 포트 설정

이 예에서는 포트 3001 및 3050을 권한이 부여된 포트로 설정합니다. 또한 현재 권한이 부여된 포트로 나열된 포트 4045를 제거합니다.

smallest_nonpriv_port 등록 정보의 출력 결과에서 POSSIBLE 필드는 포트 1024가 권한이 부여되지 않은 최하위 포트이며 지정된 포트 3001과 3050이 사용 가능한 권한이 부여되지 않은 포트 범위 내에 있음을 나타냅니다. extra_priv_ports 등록 정보의 출력 결과에서 CURRENT 필드 아래의 포트 2049 및 4045는 권한 부여됨으로 표시됩니다. 따라서 포트 3001을 권한이 부여된 포트로 계속 설정할 수 있습니다.

# ipadm show-prop -p smallest_nonpriv_port tcp
PROTO PROPERTY                PERM   CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   smallest_nonpriv_port   rw     1024      --           1024      1024-32768

# ipadm show-prop -p extra_priv_ports tcp
PROTO   PROPERTY           PERM   CURRENT     PERSISTENT   DEFAULT     POSSIBLE
tcp     extra_priv_ports   rw     2049,4045   --           2049,4045   1-65535

# ipadm set-prop -p extra_priv_ports+=3001 tcp        
# ipadm set-prop -p extra_priv_ports+=3050 tcp
# ipadm show-prop -p extra_priv_ports tcp
PROTO   PROPERTY           PERM   CURRENT     PERSISTENT   DEFAULT     POSSIBLE
tcp     extra_priv_ports   rw     2049,4045   3001,3050    2049,4045   1-65535
                                  3001,3050

# ipadm set-prop -p extra_priv_ports-=4045 tcp
# ipadm show-prop -p extra_priv_ports tcp
PROTO   PROPERTY           PERM   CURRENT     PERSISTENT   DEFAULT     POSSIBLE
tcp     extra_priv_ports   rw     2049,3001   3001,3050    2049,4045   1-65535
                                  3050

멀티홈 호스트에 대칭 경로 지정을 구현하는 방법

기본적으로 여러 인터페이스가 있는 시스템은 멀티홈 호스트라고도 하며, 경로 지정 테이블에서 트래픽 대상까지 가장 긴 일치 경로를 기준으로 네트워크 트래픽의 경로를 지정합니다. 대상까지의 길이가 같은 경로가 여러 개 있을 경우 Oracle Solaris는 ECMP(Equal Cost Multipathing) 알고리즘을 적용하여 트래픽을 해당 경로에 분산시킵니다.

이런 방식의 트래픽 분산이 적합하지 않은 경우도 있습니다. 패킷의 IP 소스 주소와 동일한 서브넷에 없는 멀티홈 호스트의 인터페이스를 통해 IP 패킷이 전송될 수 있습니다. 또한 송신 패킷이 특정 수신 요청(예: ICMP 에코 요청)에 대한 응답인 경우 요청과 응답이 동일한 인터페이스를 순회할 수 없습니다. 이러한 트래픽 경로 지정 구성을 비대칭 경로 지정이라고 합니다. 인터넷 서비스 공급자가 RFC 3704(http://rfc-editor.org/rfc/bcp/bcp84.txt)에 설명된 대로 진입 필터링을 구현하는 경우 비대칭 경로 지정 구성으로 인해 공급자가 송신 패킷을 삭제할 수도 있습니다.

RFC 3704는 인터넷에서 서비스 거부 공격을 제한하기 위한 것입니다. 이 의도를 준수하려면 네트워크에서 대칭 경로 지정을 구성해야 합니다. Oracle Solaris에서 IP hostmodel 등록 정보를 사용하면 이 요구 사항을 충족할 수 있습니다. 이 등록 정보는 멀티홈 호스트를 통해 수신 또는 전송된 IP 패킷의 동작을 제어합니다.

다음 절차에서는 ipadm 명령을 사용하여 특정 경로 지정 구성의 hostmodel 등록 정보를 설정하는 방법을 보여줍니다.

멀티홈 호스트에서 관리자가 됩니다.
시스템에서 네트워크 패킷의 경로 지정을 구성합니다.
```
# ipadm set-prop -p hostmodel=value protocol
```
이 등록 정보를 다음 세 가지 설정 중 하나로 구성할 수 있습니다.
strong

RFC 1122에 정의된 강력한 ES(엔드 시스템) 모델에 해당합니다. 이 설정은 대칭 경로 지정을 구현합니다.

weak

RFC 1122에 정의된 약한 ES 모델에 해당합니다. 이 설정에서는 멀티홈 호스트가 비대칭 경로 지정을 사용합니다.

src-priority

기본 경로를 사용하여 패킷 경로 지정을 구성합니다. 경로 지정 테이블에 대상 경로가 여러 개 있는 경우 기본 경로는 송신 패킷의 IP 소스 주소가 구성된 인터페이스를 사용하는 경로입니다. 해당 경로가 없는 경우 송신 패킷은 패킷의 IP 대상에 대한 가장 긴 일치 경로를 사용합니다.
(옵션) hostmodel 등록 정보의 설정을 확인합니다.
```
# ipadm show-prop protocol
```

예 9-7 멀티홈 호스트에 대칭 경로 지정 설정

이 예에서는 멀티홈 호스트에서 모든 IP 트래픽의 대칭 경로 지정을 적용하려고 합니다.

# ipadm set-prop -p hostmodel=strong ip
# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY   PERM  CURRENT  PERSISTENT  DEFAULT   POSSIBLE
ipv6   hostmodel  rw    strong   --          weak      strong,
                                                       src-priority,
                                                       weak
ipv4   hostmodel  rw    strong   --          weak      strong,
                                                       src-priority,
                                                       weak

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 관리: 네트워크 인터페이스 및 네트워크 가상화 Oracle Solaris 11 Information Library (한국어)