区域网络接口

引导区域时，将在其中自动设置并放置通过 zonecfg 命令配置的用于提供网络连接的区域网络接口。

Internet 协议 (Internet Protocol , IP) 层可接受和传送网络包。该层包括 IP 路由、地址解析协议 (Address Resolution Protocol, ARP)、Internet 协议安全体系结构 (Internet Protocol Security Architecture, IPsec) 和 IP 过滤器。

可用于非全局区域的 IP 类型有两种：共享 IP 和专用 IP。共享 IP 区域可共享网络接口，专用 IP 区域必须具有一个专用网络接口。

有关每种类型中 IP 功能的信息，请参见共享 IP 非全局区域中的联网和Solaris 10 8/07：专用 IP 非全局区域中的联网。

共享 IP 非全局区域

共享 IP 区域是缺省类型。该区域必须有一个或多个专用 IP 地址。共享 IP 区域可与全局区域共享 IP 层配置和状态。如果以下两个条件同时成立，则区域应该使用共享 IP 实例：

• 区域将连接到相同的数据链路，即，区域位于与全局区域相同的 IP 子网或子网上。

• 您不想使用专用 IP 区域提供的其他功能。

使用 zonecfg 命令可为共享 IP 区域分配一个或多个 IP 地址。数据链路名称也必须在全局区域中配置。

这些地址与逻辑网络接口关联。可以从全局区域中使用 ifconfig 命令来在运行的区域中添加或删除逻辑接口。有关更多信息，请参见共享 IP 网络接口。

Solaris 10 8/07：专用 IP 非全局区域

在专用 IP 区域中可使用 IP 级别的全部功能。

专用 IP 区域具有其自己的与 IP 相关的状态。

这包括可以在专用 IP 区域中使用下列功能：

• DHCPv4 和 IPv6 无状态地址自动配置

• IP 过滤器，包括网络地址转换 (network address translation, NAT) 功能

• IP 网络多路径 (IP Network Multipathing, IPMP)

• IP 路由

• ndd，用于设置 TCP/UDP/SCTP 和 IP/ARP 级别按钮

• IP 安全 (IP security, IPsec) 和 Internet 密钥交换 (Internet Key Exchange, IKE)，可自动提供用于 IPsec 安全关联的验证加密材料

使用 zonecfg 命令可为专用 IP 区域分配其自己的数据链路集合。使用 net 资源的 physical 属性，可为该区域指定一个数据链路名称，如 xge0、e1000g1 或 bge32001。没有设置 net 资源的 address 属性。

注意，通过分配的数据链路，可使用 snoop 命令。

可以将 dladm 命令与 show-linkprop 子命令一起使用，以显示正在运行的专用 IP 区域的数据链路分配。可以将 dladm 命令与 set-linkprop 子命令一起使用，以将其他数据链路分配给正在运行的区域。有关用法示例，请参见Solaris 10 8/07：在专用 IP 非全局区域中管理数据链路。

在正在运行的专用 IP 区域内，ifconfig 命令可用于配置 IP，包括添加或删除逻辑接口。通过使用 sysidcfg(4) 中所述的 sysidtools，可以按全局区域的设置方式对区域中的 IP 配置进行设置。

专用 IP 区域的 IP 配置仅可在全局区域中使用 zlogin 命令进行查看。以下是一个示例。

global# zlogin zone1 ifconfig -a

共享 IP 非全局区域和专用 IP 非全局区域之间的安全差异

在共享 IP 区域中，此区域中的应用程序（包括超级用户）不能发送带有源 IP 地址的包，只能发送通过 zonecfg 实用程序分配给该区域的包。此类型的区域不能发送和接收任意数据链路（第 2 层）包。

但是，对于专用 IP 区域，zonecfg 会将指定数据链路的一切权限都授予该区域。因此，专用 IP 区域中的超级用户可以通过这些数据链路发送欺骗型包，就像可以在全局区域中发送一样。

同时使用共享 IP 和专用 IP 非全局区域

共享 IP 区域总是与全局区域共享 IP 层，而专用 IP 区域总是有其自己的 IP 层实例。共享 IP 区域和专用 IP 区域都可在同一计算机中使用。