第 28 章 管理移动 IP(任务)
本章提供用来在移动 IP 配置文件中修改、添加、删除和显示参数的过程,还介绍如何显示移动代理的状态。
本章包含以下信息:
有关移动 IP 的介绍,请参阅第 27 章。有关移动 IP 的详细信息,请参阅第 29 章。
注 –
在 Solaris 10 8/07 之后的 Solaris 10 更新中已删除移动 IP 功能。
创建移动 IP 配置文件(任务列表)
|
任务 |
说明 |
参考 |
|---|---|---|
|
创建移动 IP 配置文件。 |
涉及到创建 /etc/inet/mipagent.conf 文件或复制其中一个样例文件。 | |
|
配置 General 部分。 |
涉及到在移动 IP 配置文件的 General 部分中键入版本号。 | |
|
配置 Advertisements 部分。 |
涉及到在移动 IP 配置文件的 Advertisements 部分中添加或更改标签和值。 | |
|
配置 GlobalSecurityParameters 部分。 |
涉及到在移动 IP 配置文件的 GlobalSecurityParameters 部分中添加或更改标签和值。 | |
|
配置 Pool 部分。 |
涉及到在移动 IP 配置文件的 Pool 部分中添加或更改标签和值。 | |
|
配置 SPI 部分。 |
涉及到在移动 IP 配置文件的 SPI 部分中添加或更改标签和值。 | |
|
配置 Address 部分。 |
涉及到在移动 IP 配置文件的 Address 部分中添加或更改标签和值。 |
创建移动 IP 配置文件
本节介绍如何规划移动 IP 和创建 /etc/inet/mipagent.conf 文件。
如何规划移动 IP
首次配置 mipagent.conf 文件时,需要执行下列任务:
-
根据您工作单位对主机的要求,确定移动 IP 代理可以提供的功能:
-
使用本节中描述的过程创建 /etc/inet/mipagent.conf 文件并指定所需的设置。还可以将下列文件之一复制到 /etc/inet/mipagent.conf 并根据您的要求对其进行修改:
-
为了实现外地代理功能,请复制 /etc/inet/mipagent.conf.fa-sample 。
-
为了实现家乡代理功能,请复制 /etc/inet/mipagent.conf.ha-sample 。
-
为了同时实现外地代理功能和家乡代理功能,请复制 /etc/inet/mipagent.conf-sample。
-
-
可以重新引导系统,以便调用可启动 mipagent 守护进程的引导脚本。还可以通过键入以下命令来启动 mipagent:
# /etc/inet.d/mipagent start
如何创建移动 IP 配置文件
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
使用下列选项之一创建 /etc/inet/mipagent.conf 文件:
-
在 /etc/inet/mipagent.conf 文件中添加或更改符合您的配置要求的配置参数。
本节中其他过程描述用来修改 /etc/inet/mipagent.conf 中各个部分的步骤。
如何配置 General 部分
如果您复制了 /etc/inet 目录中的样例文件,则可以忽略此过程,因为这些样例文件中包含此项。General 部分提供了用于此部分的标签和值的说明。
如何配置 Advertisements 部分
Advertisements 部分提供了用于此部分的标签和值的说明。
-
编辑 /etc/inet/mipagent.conf 文件并使用配置所需的值添加或更改以下各行:
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> PrefixFlags = <yes/no> AdvertiseOnBcast = <yes/no> RegLifetime = n AdvLifetime = n AdvFrequency = n ReverseTunnel = <yes/no/FA/HA/both> ReverseTunnelRequired = <yes/no/FA/HA>
注 –对于提供移动 IP 服务的本地主机上的每个接口,必须包含一个不同的 Advertisements 部分。
如何配置 GlobalSecurityParameters 部分
GlobalSecurityParameters 部分提供了用于此部分的标签和值的说明。
-
编辑 /etc/inet/mipagent.conf 文件并使用配置所需的值添加或更改以下各行:
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
如何配置 Pool 部分
Pool 部分提供了用于此部分的标签和值的说明。
-
编辑 /etc/inet/mipagent.conf 文件
-
使用配置所需的值添加或更改以下各行:
[Pool pool-identifier] BaseAddress = IP-address Size = size
如何配置 SPI 部分
SPI 部分提供了用于此部分的标签和值的说明。
-
编辑 /etc/inet/mipagent.conf 文件。
-
使用配置所需的值添加或更改以下各行:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
注 –对于所部署的每个安全上下文,必须包含一个不同的 SPI 部分。
如何配置 Address 部分
Address 部分提供了用于此部分的标签和值的说明。
-
编辑 /etc/inet/mipagent.conf 文件。
-
使用配置所需的值添加或更改以下各行:
-
[Address address] Type = node SPI = SPI-identifier -
对于代理,使用以下命令:
[Address address] Type = agent SPI = SPI-identifier -
[Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier -
对于缺省的移动节点,使用以下命令:
[Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier
-
修改移动 IP 配置文件(任务列表)
|
任务 |
说明 |
参考 |
|
修改 General 部分。 |
使用 mipagentconfig change 命令可以更改移动 IP 配置文件的 General 部分中标签的值。 | |
|
修改 Advertisements 部分。 |
使用 mipagentconfig change 命令可以更改移动 IP 配置文件的 Advertisements 部分中标签的值。 | |
|
修改 GlobalSecurityParameters 部分。 |
使用 mipagentconfig change 命令可以更改移动 IP 配置文件的 GlobalSecurityParameters 部分中标签的值。 | |
|
修改 Pool 部分。 |
使用 mipagentconfig change 命令可以更改移动 IP 配置文件的 Pool 部分中标签的值。 | |
|
修改 SPI 部分。 |
使用 mipagentconfig change 命令可以更改移动 IP 配置文件的 SPI 部分中标签的值。 | |
|
修改 Address 部分。 |
使用 mipagentconfig change 命令可以更改移动 IP 配置文件的 Address 部分中标签的值。 | |
|
添加或删除参数。 |
使用 mipagentconfig add 或 delete 命令,可以在移动 IP 配置文件的任何部分中添加新参数、标签和值,或者删除现有的参数、标签和值。 | |
|
显示参数目标的当前设置。 |
使用 mipagentconfig get 命令可以显示移动 IP 配置文件中任何部分的当前设置。 |
修改移动 IP 配置文件
本节介绍如何使用 mipagentconfig 命令来修改移动 IP 配置文件,还介绍如何显示参数目标的当前设置。
配置移动 IP 代理提供了有关 mipagentconfig 命令用法的概念性说明。您还可以查看 mipagentconfig(1M) 手册页。
如何修改 General 部分
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要在 General 部分中修改的每个标签,在命令行上键入以下命令:
# mipagentconfig change <label> <value>
示例 28–1 修改 General 部分中的参数
以下示例说明如何更改配置文件 General 部分中的版本号:
# mipagentconfig change version 2 |
如何修改 Advertisements 部分
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要在 Advertisements 部分中修改的每个标签,键入以下命令:
# mipagentconfig change adv device-name <label> <value>
例如,对于设备 hme0,如果要将代理的已通告的生命周期更改为 300 秒,请使用以下命令:
# mipagentconfig change adv hme0 AdvLifetime 300
示例 28–2 修改 Advertisements 部分
以下示例说明如何更改配置文件 Advertisements 部分中的其他参数:
# mipagentconfig change adv hme0 HomeAgent yes # mipagentconfig change adv hme0 ForeignAgent no # mipagentconfig change adv hme0 PrefixFlags no # mipagentconfig change adv hme0 RegLifetime 300 # mipagentconfig change adv hme0 AdvFrequency 4 # mipagentconfig change adv hme0 ReverseTunnel yes |
如何修改 GlobalSecurityParameters 部分
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要在 GlobalSecurityParameters 部分中修改的每个标签,键入以下命令:
# mipagentconfig change <label> <value>
# mipagentconfig change HA-FAauth yes
示例 28–3 修改 GlobalSecurityParameters 部分
以下示例说明如何更改配置文件 GlobalSecurityParameters 部分中的其他参数:
# mipagentconfig change MaxClockSkew 200 # mipagentconfig change MN-FAauth yes # mipagentconfig change Challenge yes # mipagentconfig change KeyDistribution files |
如何修改 Pool 部分
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
# mipagentconfig change Pool pool-identifier <label> <value>
示例 28–4 修改 Pool 部分
以下示例显示了用来将基本地址更改为 192.168.1.1 的命令以及用来将池 10 的大小更改为 100 的命令:
# mipagentconfig change Pool 10 BaseAddress 192.168.1.1 # mipagentconfig change Pool 10 Size 100 |
如何修改 SPI 部分
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要在 SPI 部分中修改的每个标签,键入以下命令:
# mipagentconfig change SPI SPI-identifier <label> <value>
例如,如果要将 SPI 257 的密钥更改为 5af2aee39ff0b332,请使用以下命令。
# mipagentconfig change SPI 257 Key 5af2aee39ff0b332
示例 28–5 修改 SPI 部分
以下示例说明如何更改配置文件 SPI 部分中的 ReplayMethod 标签。
# mipagentconfig change SPI 257 ReplayMethod timestamps |
如何修改 Address 部分
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要在 Address 部分中修改的每个标签,键入以下命令:
# mipagentconfig change addr [NAI | IPaddr | node-default] <label> <value>
有关三种配置方法(NAI、IP 地址和节点缺省值)的说明,请参见Address 部分。
例如,如果要将 IP 地址 10.1.1.1 的 SPI 更改为 258,请使用以下命令:
# mipagentconfig change addr 10.1.1.1 SPI 258
示例 28–6 修改 Address 部分
以下示例显示如何更改样例配置文件的 Address 部分中提供的其他参数。
# mipagentconfig change addr 10.1.1.1 Type agent # mipagentconfig change addr 10.1.1.1 SPI 259 # mipagentconfig change addr mobilenode@abc.com Type node # mipagentconfig change addr mobilenode@abc.com SPI 258 # mipagentconfig change addr mobilenode@abc.com Pool 2 # mipagentconfig change addr node-default SPI 259 # mipagentconfig change addr node-default Pool 3 # mipagentconfig change addr 10.68.30.36 Type agent # mipagentconfig change addr 10.68.30.36 SPI 260 |
如何添加或删除配置文件参数
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要在指定部分中添加或删除的每个标签,键入相应的命令:
-
对于 General 部分,使用以下命令:
# mipagentconfig [add | delete] <label> <value>
-
对于 Advertisements 部分,使用以下命令:
# mipagentconfig [add | delete] adv device-name <label> <value>
注 –还可以通过键入以下命令来添加接口:
# mipagentconfig add adv device-name
在本例中,向接口指定的是缺省值(对于外地代理和家乡代理均适用)。
-
对于 GlobalSecurityParameters 部分,使用以下命令:
# mipagentconfig [add | delete] <label> <value>
-
对于 Pool 部分,使用以下命令:
# mipagentconfig [add | delete] Pool pool-identifier <label> <value>
-
对于 SPI 部分,使用以下命令:
# mipagentconfig [add | delete] SPI SPI-identifier <label> <value>
-
对于 Address 部分,使用以下命令:
# mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \ <label> <value>
注 –请勿创建相同的 Advertisements、Pool、SPI 和 Address 部分。
-
示例 28–7 修改文件参数
例如,要创建新的地址池 Pool 11,它的基本地址为 192.167.1.1,大小为 100,请使用下列命令:
# mipagentconfig add Pool 11 BaseAddress 192.167.1.1 # mipagentconfig add Pool 11 size 100 |
示例 28–8 删除 SPI
以下示例说明如何删除 SPI 安全参数 SPI 257。
# mipagentconfig delete SPI 257 |
如何显示配置文件中的当前参数值
可以使用 mipagentconfig get 命令来显示与参数目标相关联的当前设置。
-
在要启用移动 IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
-
对于要显示其设置的每个参数,键入以下命令:
# mipagentconfig get [<parameter> | <label>]
例如,如果要显示 hme0 设备的通告设置,请使用以下命令:
# mipagentconfig get adv hme0
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes
示例 28–9 使用 mipagentconfig get 命令显示参数值
以下示例显示结合使用 mipagentconfig get 命令和其他参数目标的结果:
# mipagentconfig get MaxClockSkew
[GlobalSecurityParameters]
MaxClockSkew=300
# mipagentconfig get HA-FAauth
[GlobalSecurityParameters]
HA-FAauth=no
# mipagentconfig get MN-FAauth
[GlobalSecurityParameters]
MN-FAauth=no
# mipagentconfig get Challenge
[GlobalSecurityParameters]
Challenge=no
# mipagentconfig get Pool 10
[Pool 10]
BaseAddress=192.168.1.1
Size=100
# mipagentconfig get SPI 257
[SPI 257]
Key=11111111111111111111111111111111
ReplayMethod=none
# mipagentconfig get SPI 258
[SPI 258]
Key=15111111111111111111111111111111
ReplayMethod=none
# mipagentconfig get addr 10.1.1.1
[Address 10.1.1.1]
SPI=258
Type=agent
# mipagentconfig get addr 192.168.1.200
[Address 192.168.1.200]
SPI=257
Type=node
|
显示移动代理的状态
可以使用 mipagentstat 命令来显示外地代理的访问者列表和家乡代理的绑定表。移动 IP 的移动代理状态提供了 mipagentstat 命令的概念性说明。您还可以查看 mipagentstat(1M) 手册页。
如何显示移动代理的状态
-
在要启用移动 IP 的系统上成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
-
显示移动代理的状态。
# mipagentstat options
- -f
-
显示外地代理访问者列表中活动移动节点的列表。
- -h
-
显示家乡代理绑定表中活动移动节点的列表。
- -p
-
显示代理的移动代理对等方的安全关联列表。
示例 28–10 显示移动代理的状态
以下示例说明如何显示已向外地代理注册的所有移动节点的访问者列表:
# mipagentstat -f |
因此,将显示类似以下内容的输出:
Mobile Node Home Agent Time (s) Time (s) Flags
Granted Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com ha1.xyz.com 600 125 .....T.
10.1.5.23 10.1.5.1 1000 10 .....T.
|
因此,将显示类似以下内容的输出:
Foreign ..... Security Association(s)..... Agent Requests Replies FTunnel RTunnel ---------------------- -------- -------- -------- -------- forn-agent.eng.sun.com AH AH ESP ESP |
以下示例说明如何显示家乡代理的安全关联:
# mipagentstat -fp |
因此,将显示类似以下内容的输出:
Home ..... Security Association(s) ..... Agent Requests Replies FTunnel RTunnel ---------------------- -------- -------- -------- -------- home-agent.eng.sun.com AH AH ESP ESP ha1.xyz.com AH,ESP AH AH,ESP AH,ESP |
显示外地代理的移动路由
可以使用 netstat 命令来显示有关由正向隧道和反向隧道创建的特定于源的路由的其他信息。有关此命令的更多信息,请参见 netstat(1M) 手册页。
如何显示外地代理的移动路由
-
在要启用移动 IP 的系统上成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
-
显示移动路由。
# netstat -rn
示例 28–11 显示外地代理的移动路由
以下示例显示使用反向隧道的外地代理的路由:
Routing Table: IPv4 Source-Specific
Destination In If Source Gateway Flags Use Out If
-------------- ------- ------------ --------- ----- ---- -------
10.6.32.11 ip.tun1 -- 10.6.32.97 UH 0 hme1
-- hme1 10.6.32.11 -- U 0 ip.tun1
|
第一行表示目标 IP 地址 10.6.32.11 和传入接口 ip.tun1 选择 hme1 作为转发包的接口。第二行指示源自接口 hme1 和源地址 10.6.32.11 的任何包都必须转发到 ip.tun1。
- © 2010, Oracle Corporation and/or its affiliates