탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 네트워크 인터페이스 및 네트워크 가상화 Oracle Solaris 11 Information Library (한국어) |
7. 프로파일에 데이터 링크 및 인터페이스 구성 명령 사용
10. Oracle Solaris에서 무선 인터페이스 통신 구성
시스템 구성에서 가상화의 채택이 증가함에 따라 호스트 관리자가 게스트 VM(가상 시스템)에 물리적 또는 가상 링크에 대한 배타적 액세스 권한을 부여할 수 있습니다. 이 구성은 가상 환경의 네트워크 트래픽이 호스트 시스템에서 보내거나 받는 광범위한 트래픽으로부터 격리되도록 하여 네트워크 성능을 향상시킵니다. 동시에 이 구성은 게스트 환경에서의 유해한 패킷 생성 위험에 시스템 및 전체 네트워크를 노출시킬 수 있습니다.
링크 보호는 잠재적 악성 게스트 VM이 네트워크에 초래할 수 있는 손상을 방지하기 위한 것입니다. 이 기능은 다음과 같은 기본 위협으로부터 보호합니다.
IP 및 MAC 스푸핑
BPDU(Bridge Protocol Data Unit) 공격과 같은 L2 프레임 스푸핑
주 - 특히 더 복잡한 필터링 요구 사항이 있는 구성의 경우 링크 보호로 방화벽 배포를 대체해서는 안됩니다.
링크 보호 방식은 기본적으로 사용 안함으로 설정됩니다. 링크 보호를 사용으로 설정하려면 다음 보호 유형 중 하나 이상을 protection 링크 등록 정보의 값으로 지정합니다.
MAC 스푸핑에 대한 보호를 사용으로 설정합니다. 아웃바운드 패킷의 소스 MAC 주소가 데이터 링크에 구성된 MAC 주소와 일치해야 합니다. 그렇지 않으면 패킷이 삭제됩니다. 링크가 영역에 속하는 경우 mac-nospoof를 사용으로 설정하면 영역의 소유자가 해당 링크의 MAC 주소를 수정할 수 없습니다.
IP 스푸핑에 대한 보호를 사용으로 설정합니다. 송신 IP, ARP 또는 NDP 패킷에는 DHCP 구성 IP 주소나 allowed-ips 링크 등록 정보에 나열된 주소 중 하나와 일치하는 주소 필드가 있어야 합니다. 그렇지 않으면 패킷이 삭제됩니다.
allowed-ips 링크 등록 정보는 ip-nospoof 보호 유형으로 작동합니다. 기본적으로 이 등록 정보에 지정된 목록은 비어 있습니다. 등록 정보가 비어 있거나 구성되지 않은 경우 다음 IP 주소가 등록 정보에 암시적으로 포함됩니다. 이러한 IP 주소를 송신 패킷의 IP 주소와 일치시켜 패킷이 통과할 수 있는지 또는 삭제되는지를 확인합니다.
동적으로 학습된 DHCP 구성 IPv4 또는 IPv6 주소
링크의 MAC 주소에서 파생되고 RFC 2464를 준수하는 링크 로컬 IPv6 주소
다음 목록에서는 allowed-ips 등록 정보의 주소와 일치해야 하는 프로토콜 및 해당 송신 패킷의 연결된 주소 필드를 보여줍니다. 이 등록 정보가 비어 있으면 패킷의 주소가 DHCP 구성 IP 주소와 일치해야 합니다.
IP(IPv4 또는 IPv6) - 패킷의 소스 주소
ARP - 패킷의 보낸 사람 프로토콜 주소
송신 패킷을 IPv4, IPv6 및 ARP 프로토콜 유형의 패킷으로만 제한합니다. 나열된 유형이 아닌 기타 패킷은 삭제됩니다. 이 보호 유형을 사용하면 링크가 잠재적으로 유해한 L2 제어 프레임을 생성하지 않습니다.
주 - 링크 보호로 인해 삭제되는 패킷은 커널 통계 mac_spoofed, ip_spoofed 및 restricted에 의해 추적됩니다. 이러한 통계는 세 가지 보호 유형에 해당합니다. kstat 명령을 사용하면 이러한 링크별 통계를 검색할 수 있습니다. 통계 검색에 대한 자세한 내용은 kstat(1M) 매뉴얼 페이지를 참조하십시오.