Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
Vor der Konfiguration eines IPv6-Netzwerks (Übersicht der Schritte)
Festlegen der Host-Konfigurationsmodi
Systeme, die im lokale Dateien-Modus ausgeführt werden sollten
Als Netzwerkclients konfigurierte Systeme
IPv4-Netzwerktopologie - Szenario
Hinzufügen eines Teilnetzes zu einem Netzwerk (Übersicht der Schritte)
Netzwerkkonfiguration (Übersicht der Schritte)
Konfiguration der Systeme im lokalen Netzwerk.
So konfigurieren Sie einen Host für den lokale Dateien-Modus
So richten Sie einen Netzwerkkonfigurationsserver ein
Konfiguration der Netzwerkclients
So konfigurieren Sie Hosts für den Netzwerkclient-Modus
So ändern Sie die IPv4-Adresse und andere Netzwerkkonfigurationsparameter
Paketweiterleitung und Routing bei IPv4-Netzwerken
Von Oracle Solaris unterstützte Routing-Protokolle;
Topologie eines autonomen IPv4-Systems
Konfiguration eines IPv4-Routers
So konfigurieren Sie einen IPv4-Router
Routing-Tabellen und Routing-Typen
Konfiguration von Multihomed-Hosts
So erstellen Sie einen Multihomed-Host
Konfiguration des Routings auf Systemen mit einer Schnittstelle
So aktivieren Sie statisches Routing auf einem Host mit einer Schnittstelle
So aktivieren Sie das dynamische Routing auf einem Host mit einer Schnittstelle
Überwachen undModifizieren der Transportschichtservices
So protokollieren Sie die IP-Adressen aller eingehenden TCP-Verbindungen
So fügen Sie Services hinzu, die das SCTP-Protokoll verwenden
So verwenden Sie TCP-Wrapper zur Kontrolle des Zugriffs auf TCP-Services
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Die Transportschichtprotokolle TCP, SCTP und UDP sind Teil des standardmäßigen Oracle Solaris-Pakets. Zur ordnungsgemäßen Ausführung dieser Protokolle ist in der Regel kein Benutzereingriff erforderlich. Dennoch können Umstände an Ihrem Standort es erfordern, die über Transportschichtprotokolle ausgeführten Services zu protokollieren oder zu bearbeiten. Dann müssen Sie die Profile für diese Services mithilfe der SMF (Service Management Facility) bearbeiten, die in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration beschrieben werden.
Der inetd-Daemon ist für das Starten der Internet-Standardservices beim Booten eines Systems verantwortlich. Diese Services umfassen Anwendungen, die TCP, SCTP oder UDP als Transportschichtprotokoll verwenden. Sie können entweder die vorhandenen Internet-Services ändern oder mithilfe der SMF-Befehle neue Services hinzufügen. Weitere Informationen zum inetd-Daemon finden Sie unter inetd Internet Services-Daemon.
Vorgänge, die Transportschichtprotokolle erfordern, sind z. B.:
Das Protokollieren aller eingehenden TCP-Verbindungen
Das Hinzufügen von Services, die über ein Transportschichtprotokoll ausgeführt werden, z. B. mit SCTP
Das Konfigurieren der TCP-Wrappers Facility für die Zugangskontrolle
Ausführliche Informationen zum inetd-Daemon finden Sie in der Manpage inetd(1M).
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen erhalten Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# inetadm -M tcp_trace=TRUE
Das SCTP-Transportprotokoll stellt den Protokollen auf der Anwendungsschicht Services ähnlich dem TCP bereit. SCTP ermöglicht jedoch die Kommunikation zwischen zwei Systemen, von denen entweder eines oder beide Multihomed-Hosts sein können. Die SCTP-Verbindung wird als Assoziation bezeichnet. Bei einer Assoziation teilt eine Anwendung die zu übertragenden Daten in einen oder mehrere Datenströme oder Mehrfach-Datenströme (multi-streamed) auf. Eine SCTP-Verbindung kann zu Endpunkten mit mehreren IP-Adressen führen, wodurch diese Verbindungsart insbesondere für Telefonieanwendungen wichtig ist. Wenn IP Filter oder IPsec an Ihrem Standort eingesetzt werden, müssen die Multihoming-Fähigkeiten von SCTP in die Sicherheitsbetrachtungen einbezogen werden. Einige dieser Überlegungen sind in der Manpage sctp(7P) beschrieben.
SCTP ist standardmäßig in Oracle Solaris enthalten und erfordert keine zusätzliche Konfiguration. Eventuell müssen Sie jedoch bestimmte Services auf der Anwendungsschicht zur Verwendung von SCTP konfigurieren. Einige Beispielanwendungen sind echo und discard. Im folgenden Verfahren wird gezeigt, wie Sie einen echo-Service hinzufügen, der ein SCTP 1:1-Socket verwendet.
Hinweis - Darüber hinaus können Sie das folgende Verfahren verwenden, um Services für die Transportschichtprotokolle TCP und UDP hinzuzufügen.
In der folgenden Aufgabe wird gezeigt, wie Sie einen SCTP inet-Service hinzufügen, der vom inetd-Daemon für das SMF-Repository verwaltet wird. Dann wird in der Aufgabe gezeigt, wie der Service mit den Befehlen der Service Management Facility (SMF) hinzugefügt wird.
Informationen zu den SMF-Befehlen finden Sie unter SMF Command-Line Administrative Utilities in System Administration Guide: Basic Administration.
Syntaktische Informationen finden Sie in den Manpages für die SMF-Befehle, die in diesem Verfahren genannt werden.
Ausführliche Informationen zu SMF finden Sie in der Manpage smf(5).
Bevor Sie beginnen
Bevor Sie das folgende Verfahren ausführen, erstellen Sie eine Manifestdatei für den Service. In dem Verfahren wird ein Manifest für den echo-Service mit der Bezeichnung echo.sctp.xml als Beispiel verwendet.
Verwenden Sie bei der Definition des Service die folgende Syntax:
service-name |port/protocol | aliases
Wechseln Sie in das Verzeichnis, in dem das Manifest gespeichert ist, und geben Sie Folgendes ein:
# cd dir-name # svccfg import service-manifest-name
Die vollständige Syntax des svccfg-Befehls finden Sie in der Manpage svccfg(1M).
Angenommen, Sie möchten einen neuen SCTP echo-Service mithilfe des Manifests echo.sctp.xml hinzufügen, das momentan im Verzeichnis service.dir gespeichert ist. In diesem Fall geben Sie Folgendes ein:
# cd service.dir # svccfg import echo.sctp.xml
# svcs FMRI
Als FMRI-Argument verwenden Sie den Fault Managed Resource Identifier (FMRI) des Servicemanifests. Für den SCTP echo-Service verwenden Sie beispielsweise den folgenden Befehl:
# svcs svc:/network/echo:sctp_stream
Dieser Befehl sollte eine Ausgabe ähnlich der Folgenden erzeugen:
STATE STIME FMRI disabled 16:17:00 svc:/network/echo:sctp_stream
Ausführliche Informationen zum svcs-Befehl finden Sie in der Manpage svcs(1).
Die Ausgabe deutet darauf hin, dass das neue Servicemanifest derzeit deaktiviert ist.
# inetadm -l FMRI
Ausführliche Informationen zum inetadm-Befehl finden Sie in der Manpage inetadm(1M).
Für den SCTP echo-Service geben Sie z. B. Folgendes ein:
# inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" . . default tcp_trace=FALSE default tcp_wrappers=FALSE
# inetadm -e FMRI
Für den neuen echo-Service geben Sie z. B. Folgendes ein:
# inetadm | grep sctp_stream . . enabled online svc:/network/echo:sctp_stream
Beispiel 5-9 Hinzufügen eines Services, der das SCTP-Transportprotokoll verwendet
Im folgenden Beispiel werden die Befehle und Dateieinträge vorgestellt, mit denen Sie dafür sorgen, dass der echo-Service das SCTP-Transportschichtprotokoll verwendet.
$ cat /etc/services . . echo 7/tcp echo 7/udp echo 7/sctp # cd service.dir # svccfg import echo.sctp.xml # svcs network/echo* STATE STIME FMRI disabled 15:46:44 svc:/network/echo:dgram disabled 15:46:44 svc:/network/echo:stream disabled 16:17:00 svc:/network/echo:sctp_stream # inetadm -l svc:/network/echo:sctp_stream SCOPE NAME=VALUE name="echo" endpoint_type="stream" proto="sctp" isrpc=FALSE wait=FALSE exec="/usr/lib/inet/in.echod -s" user="root" default bind_addr="" default bind_fail_max=-1 default bind_fail_interval=-1 default max_con_rate=-1 default max_copies=-1 default con_rate_offline=-1 default failrate_cnt=40 default failrate_interval=60 default inherit_env=TRUE default tcp_trace=FALSE default tcp_wrappers=FALSE # inetadm -e svc:/network/echo:sctp_stream # inetadm | grep echo disabled disabled svc:/network/echo:stream disabled disabled svc:/network/echo:dgram enabled online svc:/network/echo:sctp_stream
Das tcpd-Programm implementiert TCP-Wrapper. TCP-Wrapper stellen eine Sicherheitsmaßnahme für Service-Daemons wie ftpd dar, indem sie zwischen dem Daemon und den eingehenden Serviceanforderungen stehen. TCP-Wrapper protokollieren erfolgreiche und nicht erfolgreiche Verbindungsversuche. Darüber hinaus stellen TCP-Wrapper eine Zugriffskontrolle bereit, indem sie eine Verbindung abhängig vom Ursprung der Anforderung zulassen oder verweigern. Sie verwenden TCP-Wrapper zum Schutz von Daemons wie z. B. SSH, Telnet und FTP. Auch die Anwendung sendmail kann TCP-Wrapper verwenden, wie unter Unterstützung für TCP-Wrapper ab Version 8.12 von sendmail in Systemverwaltungshandbuch: Netzwerkdienste beschrieben.
Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# inetadm -M tcp_wrappers=TRUE
Diese Manpage finden Sie im Verzeichnis /usr/sfw/man auf der SFW CD-ROM, die zusammen mit der Oracle Solaris CD-ROM ausgeliefert wird.