引导区域时,将在其中自动设置并放置通过 zonecfg 命令配置的用于提供网络连接的区域网络接口。
Internet 协议 (Internet Protocol , IP) 层可接受和传送网络包。该层包括 IP 路由、地址解析协议 (Address Resolution Protocol, ARP)、Internet 协议安全体系结构 (Internet Protocol Security Architecture, IPsec) 和 IP 过滤器。
可用于非全局区域的 IP 类型有两种:共享 IP 和专用 IP。共享 IP 区域可共享网络接口,专用 IP 区域必须具有一个专用网络接口。
有关每种类型中 IP 功能的信息,请参见共享 IP 非全局区域中的联网和Solaris 10 8/07:专用 IP 非全局区域中的联网。
共享 IP 区域是缺省类型。该区域必须有一个或多个专用 IP 地址。共享 IP 区域可与全局区域共享 IP 层配置和状态。如果以下两个条件同时成立,则区域应该使用共享 IP 实例:
区域将连接到相同的数据链路,即,区域位于与全局区域相同的 IP 子网或子网上。
您不想使用专用 IP 区域提供的其他功能。
使用 zonecfg 命令可为共享 IP 区域分配一个或多个 IP 地址。数据链路名称也必须在全局区域中配置。
这些地址与逻辑网络接口关联。可以从全局区域中使用 ifconfig 命令来在运行的区域中添加或删除逻辑接口。有关更多信息,请参见共享 IP 网络接口。
专用 IP 区域具有其自己的与 IP 相关的状态。
这包括可以在专用 IP 区域中使用下列功能:
ndd,用于设置 TCP/UDP/SCTP 和 IP/ARP 级别按钮
IP 安全 (IP security, IPsec) 和 Internet 密钥交换 (Internet Key Exchange, IKE),可自动提供用于 IPsec 安全关联的验证加密材料
使用 zonecfg 命令可为专用 IP 区域分配其自己的数据链路集合。使用 net 资源的 physical 属性,可为该区域指定一个数据链路名称,如 xge0、e1000g1 或 bge32001。没有设置 net 资源的 address 属性。
注意,通过分配的数据链路,可使用 snoop 命令。
可以将 dladm 命令与 show-linkprop 子命令一起使用,以显示正在运行的专用 IP 区域的数据链路分配。可以将 dladm 命令与 set-linkprop 子命令一起使用,以将其他数据链路分配给正在运行的区域。有关用法示例,请参见Solaris 10 8/07:在专用 IP 非全局区域中管理数据链路。
在正在运行的专用 IP 区域内,ifconfig 命令可用于配置 IP,包括添加或删除逻辑接口。通过使用 sysidcfg(4) 中所述的 sysidtools,可以按全局区域的设置方式对区域中的 IP 配置进行设置。
专用 IP 区域的 IP 配置仅可在全局区域中使用 zlogin 命令进行查看。以下是一个示例。
global# zlogin zone1 ifconfig -a |
在共享 IP 区域中,此区域中的应用程序(包括超级用户)不能发送带有源 IP 地址的包,只能发送通过 zonecfg 实用程序分配给该区域的包。此类型的区域不能发送和接收任意数据链路(第 2 层)包。
但是,对于专用 IP 区域,zonecfg 会将指定数据链路的一切权限都授予该区域。因此,专用 IP 区域中的超级用户可以通过这些数据链路发送欺骗型包,就像可以在全局区域中发送一样。
共享 IP 区域总是与全局区域共享 IP 层,而专用 IP 区域总是有其自己的 IP 层实例。共享 IP 区域和专用 IP 区域都可在同一计算机中使用。