配置路由和多级别端口（任务）

通过静态路由，有标签包可以通过有标签网关和无标签网关到达其目的地。通过 MLP，应用程序可以使用一个入口点访问所有区域。

如何添加缺省路由

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

已将每个目标主机、网络和网关添加到安全模板。有关详细信息，请参见如何将主机添加到安全模板和如何将一系列主机添加到安全模板。

1. 使用 txzonemgr GUI 创建缺省路由。

   # txzonemgr &

2. 双击要设置其缺省路由的区域，然后双击其 IP 地址项。

   如果此区域有多个 IP 地址，请选择具有所需接口的项。

3. 在出现提示时，键入路由器的 IP 地址，然后单击 "OK"（确定）。

   ---

   注 - 要删除或修改缺省路由器，请删除该项，然后重新创建 IP 项并添加路由器。如果此区域只有一个 IP 地址，必须删除 IP 实例才能删除该项。

   ---

示例 16-17 使用 route 命令为全局区域设置缺省路由

在此示例中，管理员使用 route 命令为全局区域创建缺省路由。

# route add default 192.168.113.1 -static

如何为区域创建多级别端口

可以将专用和共享 MLP 添加到有标签区域和全局区域。

如果在有标签区域中运行的某应用程序需要使用多级别端口 (multilevel port, MLP) 与区域进行通信，将使用此过程。在此过程中，一个 Web 代理与区域进行通信。

开始之前

您必须在全局区域中承担 root 角色。系统必须至少具有两个 IP 地址，并且有标签区域已停止。

1. 将代理主机和 Web 服务主机添加到 /etc/hosts 文件。

   ## /etc/hosts file
   ...
   proxy-host-name IP-address
   web-service-host-name IP-address

2. 配置区域。

   例如，将 public 区域配置为识别标签显式设置为 PUBLIC 的包。对于此配置，安全模板命名为 webprox。

   # tncfg -t webprox 
   tncfg:public> set name=webprox
   tncfg:public> set host_type=cipso
   tncfg:public> set min_label=public
   tncfg:public> set max_label=public
   tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone
   tncfg:public> add host=10.1.2.3/16IP address of public zone
   tncfg:public> exit

3. 配置 MLP。

   例如，Web 代理服务可能会通过 8080/tcp 接口与 PUBLIC 区域进行通信。

   # tncfg -z public add mlp_shared=8080/tcp
   # tncfg -z public add mlp_private=8080/tcp

4. 要将 MLP 添加到内核中，请引导区域。

   # zoneadm -z zone-name boot

5. 在全局区域中，为新地址添加路由。

   要添加路由，请执行如何添加缺省路由中的相关操作。

示例 16-18 使用 txzonemgr GUI 配置 MLP

管理员打开 "Labeled Zone Manager"（有标签区域管理器）来配置 Web 代理服务。

# txzonemgr &

管理员双击 PUBLIC（公共）区域，然后双击 Configure Multilevel Ports（配置多级别端口）。然后，管理员选择并双击 Private interfaces（专用接口）行。选择更改为类似于以下内容的项字段：

Private interfaces:111/tcp;111/udp

管理员通过分号分隔符开始 Web 代理项输入

Private interfaces:111/tcp;111/udp;8080/tcp

完成专用项后，管理员在 Shared interfaces（共享接口）字段中键入 Web 代理。

Shared interfaces:111/tcp;111/udp;8080/tcp

弹出消息指示 public（公共）区域的多级别端口将在下次引导区域时处于活动状态。

示例 16-19 通过 udp 为 NFSv3 配置专用多级别端口

在此示例中，管理员通过 udp 启用 NFSv3 向下读取挂载。管理员可以选择使用 tncfg 命令。

# tncfg -z global add mlp_private=2049/udp

txzonemgr GUI 提供了定义 MLP 的另一种方式。

在 "Labeled Zone Manager"（有标签区域管理器）中，管理员双击 global（全局）区域，然后双击 Configure Multilevel Ports（配置多级别接口）。在 MLP 菜单中，管理员选择并双击 Private interfaces（专用接口）行，然后添加端口/协议。

Private interfaces:111/tcp;111/udp;8080/tcp

弹出消息指示 global（全局）区域的多级别端口将在下次引导时处于活动状态。

示例 16-20 显示系统的多级别端口

在本示例中，系统配置有多个有标签区域。所有区域共用同一 IP 地址。某些区域还配置有特定于区域的地址。在此配置中，用于 Web 浏览的 TCP 端口（端口 8080）是公共区域中共享接口上的一个 MLP。管理员还将 telnet TCP 端口 23 设置为公共区域中的一个 MLP。由于这两个 MLP 位于共享接口上，所以其他区域（包括全局区域）都不能在端口 8080 和 23 的共享接口上接收包。

此外，ssh TCP 端口（端口 22）是公共区域中的每区域 MLP。公共区域的 ssh 服务可以在地址标签范围内特定于区域的地址接收任何包。

以下命令显示公共区域的 MLP：

$ tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

以下命令显示全局区域的 MLP。请注意，端口 23 和 8080 不能为全局区域中的 MLP，因为全局区域与公共区域共用同一地址。

$ tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
         6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp