在 Trusted Extensions 中配置网络接口

您的 Trusted Extensions 系统具有直接连接的位映射显示屏幕（如手提电脑或工作站）时，不需要网络就可运行桌面。但是，需要进行网络配置才能与其他系统进行通信。通过使用 txzonemgr GUI，可以轻松配置有标签区域和全局区域以连接到其他系统。有关有标签区域的配置选项的说明，请参见访问有标签区域。以下任务列表介绍了网络配置任务，并提供了指向这些任务的链接。

任务	说明	参考
为一般用户配置缺省系统。	系统有一个 IP 地址并使用 `all-zones` 接口在有标签区域与全局区域之间进行通信。将使用同一 IP 地址与远程系统进行通信。	如何在所有区域中共享单个 IP 地址
将 IP 地址添加到全局区域中。	系统有多个 IP 地址，并使用全局区域的专用 IP 地址访问专用子网。有标签区域无法访问此子网。	如何在所有区域中共享单个 IP 地址
将 IP 地址指定给每个区域（如果区域共享 IP 栈）。	系统有多个 IP 地址。在最简单的情况下，区域共享一个物理接口。	如何将 IP 实例添加到有标签区域中
针对每个区域将 `all-zones` 接口添加到 IP 实例。	系统可以为其有标签区域提供特权服务，这些服务是受保护的，可免受远程攻击。	如何将 IP 实例添加到有标签区域中
将 IP 地址指定给每个区域（如果 IP 栈是专用的）。	为每个区域（包括全局区域）指定一个 IP 地址。为每个有标签区域创建 VNIC。	如何将虚拟网络接口添加到有标签区域
将区域连接到远程区域。	此任务用于配置有标签区域和全局区域的网络接口，以访问同一标签下的远程系统。	如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统
针对每个区域运行单独的 `nscd` 守护进程。	在每个子网都具有其自己的名称服务器的环境中，此任务用于针对每个区域配置一个 `nscd` 守护进程。	如何为每个有标签区域配置单独的名称服务

如何在所有区域中共享单个 IP 地址

通过此过程，系统中的每个区域可以使用一个 IP 地址（即全局区域的 IP 地址），以访问其他有相同标签的区域或主机。此配置是缺省配置。如果以不同方式配置了网络接口，并希望将系统恢复为缺省网络配置，则必须完成此过程。

开始之前

您必须在全局区域中承担 root 角色。

运行不带任何选项的 txzonemgr 命令。
```
# txzonemgr &
```
此时将在 "Labeled Zone Manager"（有标签区域管理器）中显示区域列表。有关此 GUI 的信息，请参见如何以交互方式创建有标签区域。
双击全局区域。
双击 "Configure Network Interfaces"（配置网络接口）。
此时将显示接口列表。查找列有以下特征的接口：
- 类型为 phys
- 您的主机名对应的 IP 地址
- 状态为 up
选择与您的主机名对应的接口。
从命令列表中，选择 "Share with Shared-IP Zones"（与共享 IP 的区域进行共享）。
所有区域均可使用此共享 IP 地址与相应标签下的远程系统进行通信。
单击 "Cancel"（取消），返回到区域命令列表。

接下来的步骤

要配置系统的外部网络，请转至如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统。

如何将 IP 实例添加到有标签区域中

如果使用共享 IP 栈和每区域地址，且计划将有标签区域连接到网络上其他系统中的有标签区域，需要执行此过程。

在此过程中，将为一个或多个有标签区域创建 IP 实例（即，每区域地址）。有标签区域使用其每区域地址与网络上有相同标签的区域进行通信。

开始之前

您必须在全局区域中承担 root 角色。

此时将在 "Labeled Zone Manager"（有标签区域管理器）中显示区域列表。要打开此 GUI，请参见如何以交互方式创建有标签区域。必须停止要配置的有标签区域。

在 "Labeled Zone Manager"（有标签区域管理器）中，双击要向其添加 IP 实例的有标签区域。
双击 "Configure Network Interfaces"（配置网络接口）。
此时将显示配置选项列表。
选择 "Add an IP instance"（添加 IP 实例）。
如果您的系统有多个 IP 地址，请选择具有所需接口的项。
对于此有标签区域，提供 IP 地址和前缀计数。
例如，键入 192.168.1.2/24。如果不附加前缀计数，系统将提示您输入网络掩码。针对此示例的等效网络掩码为 255.255.255.0。
单击 "OK"（确定）。
要添加缺省路由器，请双击刚刚添加的项。
在出现提示时，键入路由器的 IP 地址，然后单击 "OK"（确定）。

注 - 要删除或修改缺省路由器，请删除该项，然后重新创建 IP 实例。
单击 "Cancel"（取消），返回到区域命令列表。

接下来的步骤

要配置系统的外部网络，请转至如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统。

如何将虚拟网络接口添加到有标签区域

如果使用专用 IP 栈和每区域地址，且计划将有标签区域连接到网络上其他系统中的有标签区域，需要执行此过程。

在此过程中，将创建 VNIC 并将其指定给有标签区域。

开始之前

您必须在全局区域中承担 root 角色。

在 "Labeled Zone Manager"（有标签区域管理器）中，双击要向其添加虚拟接口的有标签区域。
双击 "Configure Network Interfaces"（配置网络接口）。
此时将显示配置选项列表。
双击 "Add a virtual interface (VNIC)"（添加虚拟接口 (VNIC)）。
如果您的系统有多个 VNIC 卡，将显示多个选项。选择具有所需接口的项。
指定主机名，或指定 IP 地址和前缀计数。
例如，键入 192.168.1.2/24。如果不附加前缀计数，系统将提示您输入网络掩码。针对此示例的等效网络掩码为 255.255.255.0。
要添加缺省路由器，请双击刚刚添加的项。
在出现提示时，键入路由器的 IP 地址，然后单击 "OK"（确定）。

注 - 要删除或修改缺省路由器，请删除该项，然后重新创建 VNIC。
单击 "Cancel"（取消），返回到区域命令列表。
此时将显示 VNIC 项。系统指定了 zonename_n 名称，如 internal_0。

接下来的步骤

要配置系统的外部网络，请转至如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统。

如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统

在此过程中，将通过添加 Trusted Extensions 系统可以连接到的远程主机来定义 Trusted Extensions 网络。

开始之前

将显示 "Labeled Zone Manager"（有标签区域管理器）。要打开此 GUI，请参见如何以交互方式创建有标签区域。您是全局区域中的 root 角色。

在 "Labeled Zone Manager"（有标签区域管理器）中，双击全局区域。
选择 "Add Multilevel Access to Remote Host"（添加对远程主机的多级别访问）。
1. 键入另一个 Trusted Extensions 系统的 IP 地址。
2. 在另一个 Trusted Extensions 系统上运行相应的命令。
单击 "Cancel"（取消），返回到区域命令列表。
在 "Labeled Zone Manager"（有标签区域管理器）中，双击有标签区域。
选择 "Add Access to Remote Host"（添加对远程主机的访问）。
1. 键入另一个 Trusted Extensions 系统上有相同标签的区域的 IP 地址。
2. 在另一个 Trusted Extensions 系统的区域中运行相应的命令。

另请参见

如何为每个有标签区域配置单独的名称服务

通过此过程，可以在每个有标签区域中单独配置名称服务守护进程 (nscd)。此配置不满足评估配置的标准。在评估配置中，nscd 守护进程仅在全局区域中运行。每个有标签区域中的通道将区域连接到全局 nscd 守护进程。

此配置支持满足以下条件的环境：其中的每个区域都连接到一个以区域的标签运行的子网，并且该子网拥有自己的用于该标签的命名服务器。

注 - 此配置要求您具备网络方面的高级技能。

开始之前

将显示 "Labeled Zone Manager"（有标签区域管理器）。要打开此 GUI，请参见如何以交互方式创建有标签区域。您是全局区域中的 root 角色。

在 "Labeled Zone Manager"（有标签区域管理器）中，选择 "Configure per-zone name service"（配置每区域名称服务），然后单击 "OK"（确定）。
注 - 此选项规定为在初始系统配置过程中使用一次。
配置每个区域的 nscd 服务。
有关帮助，请参见 nscd(1M) 手册页。
重新引导系统。
```
# /usr/sbin/reboot
```

对于每个区域，检验路由和名称服务守护进程。

在 "Zone Console"（区域控制台）中，列出 nscd 服务。

zone-name # svcs -x name-service/cache
svc:/system/name-service/cache:default (name service cache)
 State: online since September 10, 2011  10:10:11 AM PDT
   See: nscd(1M)
   See: /var/svc/log/system-name-service-cache:default.log
Impact: None.

检验通往子网的路由。
```
zone-name # netstat -rn
```

示例 4-3 从每个有标签区域中删除名称服务高速缓存

针对每个区域测试一个名称服务守护进程之后，系统管理员决定从有标签区域中删除名称服务守护进程，仅在全局区域中运行守护进程。要将系统恢复为缺省名称服务配置，管理员将打开 txzonemgr GUI，选择全局区域，再选择 Unconfigure per-zone name service（取消配置每区域名称服务），然后选择 OK（确定）。此选择将删除每个有标签区域中的 nscd 守护进程。之后，管理员重新引导系统。

接下来的步骤

为每个区域配置用户和角色帐户时，您有三个选项。

可以在多级别 LDAP 目录服务器中创建 LDAP 帐户。
可以在单独的 LDAP 目录服务器（每个标签一个服务器）中创建 LDAP 帐户。
可以创建本地帐户。

在每个有标签区域中单独配置名称服务守护进程意味着所有用户都需要输入口令。用户必须对自身进行验证以获取对其任一有标签区域（包括与其缺省标签对应的区域）的访问权限。此外，管理员必须在每个区域中本地创建帐户，或者帐户必须存在于区域为 LDAP 客户机的 LDAP 目录中。

在全局区域中的帐户运行 "Labeled Zone Manager"（有标签区域管理器）txzonemgr 的特殊情况下，帐户的信息将复制到有标签区域，以便至少此帐户能够登录到每个区域。缺省情况下，此帐户为初始用户帐户。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文)