Netzwerkschnittstellen der Zone

Mit dem Befehl zonecfg konfigurierte Netzwerkschnittstellen für Zonen sorgen für die Netzwerkverbindungen und werden beim Booten automatisch in einer Zone eingerichtet.

Die Internet Protocol (IP)-Schicht akzeptiert Pakete und liefert sie im Netzwerk aus. Diese Schicht umfasst IP-Routing, das Address Resolution Protocol (ARP), die IP-Sicherheitsarchitektur (IPsec) und IP-Filter.

Für nicht-globale Zonen stehen die IP-Typen Shared IP und Exclusive IP zur Verfügung. In der Shared IP-Zone wird eine Netzwerkschnittstelle gemeinsam genutzt, während die Exclusive IP-Zone muss über eine dedizierte Netzwerkschnittstelle verfügen muss.

Informationen zu den IP-Funktionen jedes Typs finden Sie unter Netzwerkverbindungen in nicht-globalen Shared IP-Zonen und Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen.

Nicht-globale Shared IP-Zonen

Die Shared IP-Zone ist der Standardtyp. Die Zone muss über mindestens eine dedizierte IP-Adresse verfügen. Eine Shared IP-Zone nutzt die Konfiguration und den Status der IP-Schicht gemeinsam mit der globalen Zone. Die Zone muss die Shared IP-Instanz verwenden, wenn die beiden folgenden Bedingungen zutreffen:

• Die Zone ist mit dem gleichen Data-Link verbunden, d. h., sie befindet sich im gleichen IP-Teilnetz bzw. in den gleichen Teilnetzen wie die globale Zone.

• Sie benötigen keine der Merkmale, die eine Exclusive IP-Zone bietet.

Shared IP-Zonen werden mit dem Befehl zonecfg eine oder mehrere IP-Adressen zugewiesen. Die Data-Link-Namen müssen ebenfalls in der globalen Zone konfiguriert werden.

Diese Adressen werden mithilfe von logischen Netzwerkschnittstellen zugeordnet. Mit dem Befehl ifconfig können die logischen Schnittstellen in einer laufenden Zone von der globalen Zone aus hinzugefügt oder entfernt werden. Weitere Informationen finden Sie unter Shared IP-Netzwerkschnittstellen.

Solaris 10 8/07: Nicht-globale Exclusive IP-Zonen

In einer Exclusive IP-Zone stehen alle Funktionen der IP-Schicht zur Verfügung.

Eine Exclusive IP-Zone verfügt über einen eigenen IP-orientierten Status.

Hierzu gehört die Fähigkeit, die folgenden Funktionen einer Exclusive IP-Zone zu nutzen:

• Statusfreie automatische Konfiguration von Adressen unter DHCPv4 und IPv6

• IP-Filter, einschließlich Funktionen zur Network Address Translation (NAT)

• IP Network Multipathing (IPMP)

• IP-Routing

• ndd zum Einstellen der TCP/UDP/SCTP- und IP/ARP-Level knobs

• IP Security (IPsec) und Internet Key Exchange (IKE), das die Bereitstellung von authentifizierten Schlüsseln für die IPsec-Sicherheitszuweisung automatisiert

Eine Exclusive IP-Zone erhält mit dem Befehl zonecfg ein eigenes Data-Link-Set. Die Zone erhält einen Data-Link-Name wie z. B. xge0, e1000g1 oder bge32001. Dazu wird die Eigenschaft physical der net-Ressourcen verwendet. Die Eigenschaft address der net-Ressource ist nicht gesetzt.

Beachten Sie, dass die zugewiesene Data-Link das Verwenden des Befehls snoop möglich macht.

Der Befehl dladm kann zusammen mit dem Unterbefehl show-linkprop verwendet werden, um die Zuweisung von Data-Links zu laufenden Exclusive IP-Zonen anzuzeigen. Der Befehl dladm kann zusammen mit dem Unterbefehl set-linkprop verwendet werden, um laufenden Zonen zusätzliche Data-Links zuzuweisen. Anwendungsbeispiele finden Sie unter Solaris 10 8/07: Verwalten von Data-Links in nicht-globalen Exclusive IP-Zonen.

Innerhalb einer laufenden Exclusive IP-Zone kann der Befehl ifconfig zum Konfigurieren der IP-Funktionen verwendet werden. Hierzu gehört die Möglichkeit, logische Schnittstellen hinzuzufügen oder zu entfernen. Die IP-Konfiguration in einer Zone kann mithilfe von sysidtools, das unter sysidcfg(4) beschrieben wird, auf die gleiche Weise wie für die globale Zone eingerichtet werden.

Die IP-Konfiguration einer Exclusive IP-Zone kann nur von der globalen Zone aus mit dem Befehl zlogin angezeigt werden. Ein Beispiel:

global# zlogin zone1 ifconfig -a

Sicherheitsunterschiede zwischen nicht-globalen Shared IP- und Exclusive IP-Zonen

In einer Shared IP-Zone können weder die Anwendungen in einer Zone noch der Superuser Pakete mit anderen Quell-IP-Adressen als denen senden, die der Zone mit dem Dienstprogramm zonecfg zugewiesen wurden. Dieser Zonentyp hat keinen Zugriff zum Senden und Empfangen von zufälligen Data-Link-Paketen (Schicht 2).

Bei einer Exclusive IP-Zone gewährt zonecfg stattdessen die gesamten angegebene Data-Link für die Zone. Somit kann der Superuser in einer Exclusive IP-Zone genauso wie in der globalen Zone Spoofing-Pakete über diese Data-Links versenden.

Gleichzeitiges Verwenden von nicht-globalen Shared IP- und Exclusive IP-Zonen

Die Shared IP-Zonen nutzen die IP-Schicht immer gemeinsam mit der globalen Zone, die Exclusive IP-Zonen hingegen verfügen immer über ihre eigene Instanz der IP-Schicht. Shared IP-Zonen und Exclusive IP-Zonen können gemeinsam auf dem gleichen Computer eingesetzt werden.