경로 및 다중 레벨 포트 구성(작업)

정적 경로는 레이블이 있는 패킷이 레이블이 있는 게이트웨이와 레이블이 없는 게이트웨이를 통해 대상에 도달할 수 있도록 합니다. MLP는 응용 프로그램에서 하나의 진입점을 사용하여 모든 영역에 도달할 수 있도록 합니다.

기본 경로를 추가하는 방법

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

각 대상 호스트, 네트워크 및 게이트웨이를 보안 템플리트에 추가했습니다. 자세한 내용은 호스트를 보안 템플리트에 추가하는 방법 및 호스트 범위를 보안 템플리트에 추가하는 방법을 참조하십시오.

txzonemgr GUI를 사용하여 기본 경로를 만듭니다.
```
# txzonemgr &
```
기본 경로를 설정할 영역을 두 번 누른 다음 IP 주소 항목을 두 번 누릅니다.
영역에 둘 이상의 IP 주소가 있을 경우 원하는 인터페이스가 있는 항목을 선택합니다.
프롬프트에서 라우터의 IP 주소를 입력하고 OK(확인)를 누릅니다.
주 - 기본 라우터를 제거하거나 수정하려면 항목을 제거하고 IP 항목을 다시 만든 다음 라우터를 추가합니다. 영역에 하나의 IP 주소만 있는 경우 IP 인스턴스를 제거하여 항목을 제거해야 합니다.

예 16-17 route 명령을 사용하여 전역 영역에 대한 기본 경로 설정

이 예에서 관리자는 route 명령을 사용하여 전역 영역에 대한 기본 경로를 만듭니다.

# route add default 192.168.113.1 -static

영역에 대한 다중 레벨 포트를 만드는 방법

개인 및 공유 MLP를 레이블이 있는 영역 및 전역 영역에 추가할 수 있습니다.

이 절차는 레이블이 있는 영역에서 실행되는 응용 프로그램이 영역과 통신하기 위해 다중 레벨 포트(MLP)가 필요한 경우 사용됩니다. 이 절차에서 웹 프록시는 영역과 통신합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다. 시스템에는 둘 이상의 IP 주소가 있어야 하고 레이블이 있는 영역은 정지됩니다.

프록시 호스트 및 웹 서비스 호스트를 /etc/hosts 파일에 추가합니다.
```
## /etc/hosts file
...
proxy-host-name IP-address
web-service-host-name IP-address
```

영역을 구성합니다.

예를 들어, 명시적으로 PUBLIC 레이블이 지정된 패킷을 인식하도록 public 영역을 구성합니다. 이 구성의 경우 보안 템플리트의 이름은 webprox입니다.

# tncfg -t webprox 
tncfg:public> set name=webprox
tncfg:public> set host_type=cipso
tncfg:public> set min_label=public
tncfg:public> set max_label=public
tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone
tncfg:public> add host=10.1.2.3/16IP address of public zone
tncfg:public> exit

MLP를 구성합니다.
예를 들어, 웹 프록시 서비스는 8080/tcp 인터페이스를 통해 PUBLIC 영역과 통신할 수 있습니다.
```
# tncfg -z public add mlp_shared=8080/tcp
# tncfg -z public add mlp_private=8080/tcp
```
MLP를 커널에 추가하려면 영역을 부트합니다.
```
# zoneadm -z zone-name boot
```
전역 영역에서 새 주소에 대한 경로를 추가합니다.
경로를 추가하려면 기본 경로를 추가하는 방법을 수행합니다.

예 16-18 txzonemgr GUI를 사용하여 MLP 구성

관리자는 Labeled Zone Manager(레이블이 있는 영역 관리자)를 열어 웹 프록시 서비스를 구성합니다.

# txzonemgr &

관리자는 PUBLIC 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 두 번 누릅니다. 그런 다음 관리자는 Private interfaces(개인 인터페이스) 행을 선택하고 두 번 누릅니다. 선택이 다음과 유사한 입력 필드로 바뀝니다.

Private interfaces:111/tcp;111/udp

관리자는 세미콜론 구분자를 사용하여 웹 프록시 입력을 시작합니다.

Private interfaces:111/tcp;111/udp;8080/tcp

개인 입력을 완료한 후 관리자는 웹 프록시를 Shared interfaces(공유 인터페이스) 필드에 입력합니다.

Shared interfaces:111/tcp;111/udp;8080/tcp

public 영역에 대한 다중 레벨 포트가 영역의 다음 부트 시 활성화된다는 팝업 메시지가 나타납니다.

예 16-19 udp를 통해 NFSv3에 대한 개인 다중 레벨 포트 구성

이 예에서 관리자는 udp를 통해 NFSv3 하위 읽기 마운트를 사용으로 설정합니다. 관리자는 tncfg 명령을 사용할 수도 있습니다.

# tncfg -z global add mlp_private=2049/udp

txzonemgr GUI는 MLP를 정의할 수 있는 또 하나의 방법을 제공합니다.

Labeled Zone Manager(레이블이 있는 영역 관리자)에서 관리자는 global 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 두 번 누릅니다. MLP 메뉴에서 관리자는 Private interfaces(개인 인터페이스) 행을 선택하고 두 번 누른 다음 포트/프로토콜을 추가합니다.

Private interfaces:111/tcp;111/udp;8080/tcp

global 영역에 대한 다중 레벨 포트가 다음 부트 시 활성화된다는 팝업 메시지가 나타납니다.

예 16-20 시스템의 다중 레벨 포트 표시

이 예에서 시스템은 레이블이 있는 여러 영역으로 구성되어 있습니다. 모든 영역은 동일한 IP 주소를 공유합니다. 또한 일부 영역은 영역별 주소로 구성되어 있습니다. 이 구성에서 웹 브라우징을 위한 TCP 포트인 8080 포트는 공용 영역의 공유 인터페이스에서 MLP입니다. 또한 관리자는 telnet용 TCP 포트 23이 공용 영역에서 MLP가 되도록 설정했습니다. 이러한 두 MLP는 공유 인터페이스에 있으므로 전역 영역을 비롯한 다른 영역에서는 공유 인터페이스의 8080 및 23 포트에서 패킷을 받을 수 없습니다.

또한 ssh에 대한 TCP 포트인 22 포트는 공용 영역에서 영역별 MLP입니다. 공용 영역의 ssh 서비스는 주소의 레이블 범위 내에 있는 영역별 주소에서 패킷을 수신할 수 있습니다.

다음 명령은 공용 영역에 대한 MLP를 보여줍니다.

$ tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

다음 명령은 전역 영역에 대한 MLP를 보여줍니다. 전역 영역은 공용 영역과 동일한 주소를 공유하므로 23 및 8080 포트는 전역 영역에서 MLP가 될 수 없습니다.

$ tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
         6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어)