跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
mipagent 命令可在系统启动时从 /etc/inet/mipagent.conf 配置文件中读取配置信息。移动 IP 使用 /etc/inet/mipagent.conf 配置文件来初始化移动 IP 移动代理。配置和部署移动代理之后,移动代理会定期发出路由器通告,并响应路由器搜索请求消息以及移动 IP 注册消息。
有关文件属性的说明,请参见 mipagent.conf(4) 手册页。有关此文件的用法说明,请参见 mipagent(1M) 手册页。
移动 IP 配置文件由多个部分组成。每一部分都有一个唯一的名称并且用方括号括起来。每一部分包含一个或多个标签。可以使用以下格式为标签赋值:
[Section_name] Label-name = value-assigned
配置文件的部分和标签介绍了各部分的名称、标签和可能值。
缺省的 Solaris 安装在 /etc/inet 目录中提供了下列样例配置文件:
mipagent.conf-sample-包含同时提供外地代理功能和家乡代理功能的移动 IP 代理的样例配置
mipagent.conf.fa-sample-包含仅提供外地代理功能的移动 IP 代理的样例配置
mipagent.conf.ha-sample-包含仅提供家乡代理功能的移动 IP 代理的样例配置
这些样例配置文件包含移动节点的地址和安全设置。必须先创建一个名为 mipagent.conf 的配置文件并将其放在 /etc/inet 目录中,然后才能实现移动 IP。此文件包含可满足移动 IP 实现要求的配置设置。此外,还可以选择其中一个样例配置文件,使用您的地址和安全设置对其进行修改,然后将其复制到 /etc/inet/mipagent.conf 中。
有关更多信息,请参见如何创建移动 IP 配置文件。
下面列出了 mipagent.conf-sample 文件中的各个部分、标签和值。配置文件的部分和标签介绍了语法以及各个部分、标签和值。
[General] Version = 1.0 # version number for the configuration file. (required) [Advertisements hme0] HomeAgent = yes ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = no ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4 [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1 [Address 10.68.30.36] Type = agent SPI = 257
下面列出了 mipagent.conf.fa-sample 文件中的各个部分、标签和值。配置文件的部分和标签介绍了语法以及各个部分、标签和值。
mipagent.conf.fa-sample 文件中显示的配置仅提供外地代理功能。此样例文件不包含 Pool 部分,因为仅有家乡代理才使用池。除此之外,此文件与 mipagent.conf-sample 文件完全相同。
[General] Version = 1.0 # version number for the configuration file. (required) [Advertisements hme0] HomeAgent = no ForeignAgent = yes PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address 10.68.30.36] Type = agent SPI = 257
下面列出了 mipagent.conf.ha-sample 文件中的各个部分、标签和值。配置文件的部分和标签介绍了语法以及各个部分、标签和值。
mipagent.conf.ha-sample 文件中显示的配置仅提供家乡代理功能。除此之外,此文件与 mipagent.conf-sample 文件完全相同。
[General] Version = 1.0 # version number for the configuration file. (required) [Advertisements hme0] HomeAgent = yes ForeignAgent = no PrefixFlags = yes AdvertiseOnBcast = yes RegLifetime = 200 AdvLifetime = 200 AdvFrequency = 5 ReverseTunnel = yes ReverseTunnelRequired = no [GlobalSecurityParameters] MaxClockSkew = 300 HA-FAauth = yes MN-FAauth = yes Challenge = no KeyDistribution = files [Pool 1] BaseAddress = 10.68.30.7 Size = 4 [SPI 257] ReplayMethod = none Key = 11111111111111111111111111111111 [SPI 258] ReplayMethod = none Key = 15111111111111111111111111111111 [Address 10.1.1.1] Type = node SPI = 258 [Address mobilenode@sun.com] Type = node SPI = 257 Pool = 1 [Address Node-Default] Type = node SPI = 258 Pool = 1
General(必需)
Advertisements(必需)
GlobalSecurityParameters(可选)
Pool(可选)
SPI(可选)
Address(可选)
General 和 GlobalSecurityParameters 部分包含与移动 IP 代理的操作相关的信息。这些部分在配置文件中只能出现一次。
General 部分仅包含一个标签: 配置文件的版本号。General 部分的语法如下:
[General] Version = 1.0
Advertisements 部分包含 HomeAgent 和 ForeignAgent 标签以及其他标签。提供移动 IP 服务的本地主机上的每个接口必须包括一个不同的 Advertisements 部分。Advertisements 部分的语法如下:
[Advertisements interface] HomeAgent = <yes/no> ForeignAgent = <yes/no> . .
通常,系统有一个接口,如 eri0 或 hme0,并且同时支持家乡代理操作和外地代理操作。如果示例 hme0 存在这种情况,则可按如下所示向 HomeAgent 和 ForeignAgent 标签指定 yes 值:
[Advertisements hme0] HomeAgent = yes ForeignAgent = yes . .
对于通过动态接口的通告,可针对设备 ID 部分使用 "*"。例如,Interface-name ppp* 实际上是指启动 mipagent 守护进程之后配置的所有 PPP 接口。动态接口类型的通告部分中的所有属性保持不变。
下表介绍了可在 Advertisements 部分中使用的标签和值。
表 29-1 Advertisements 部分的标签和值
|
GlobalSecurityParameters 部分包含标签 maxClockSkew、HA-FAauth、MN-FAauth、Challenge 和 KeyDistribution。该部分的语法如下:
[GlobalSecurityParameters] MaxClockSkew = n HA-FAauth = <yes/no> MN-FAauth = <yes/no> Challenge = <yes/no> KeyDistribution = files
移动 IP 协议通过允许在消息中设置时间戳来提供消息重放保护。如果时钟不同,则家乡代理会向移动节点返回一个有关当前时间的错误,移动节点可以使用当前时间再次注册。可以使用 MaxClockSkew 标签配置家乡代理的时钟与移动节点的时钟之间相差的最大秒数。缺省值为 300 秒。
HA-FAauth 标签可启用或禁用家乡代理-外地代理验证的要求,MN-FAauth 标签可启用或禁用移动节点-外地代理验证的要求。缺省值为禁用。可以使用 challenge 标签,以便外地代理在其通告中向移动节点发出质询。该标签用于实现重放保护,其缺省值也为禁用。
下表介绍了可在 GlobalSecurityParameters 部分中使用的标签和值。
表 29-2 GlobalSecurityParameters 部分的标签和值
|
家乡代理可以为移动节点指定动态地址。动态地址分配是独立于 DHCP 在 mipagent 守护进程中完成的。可以通过请求家乡地址来创建可供移动节点使用的地址池。地址池是通过配置文件中的 Pool 部分配置的。
Pool 部分包含 BaseAddress 和 Size 标签。Pool 部分的语法如下:
[Pool pool-identifier] BaseAddress = IP-address Size = size
您可以使用 Pool 部分来定义可指定给移动节点的地址池。BaseAddress 标签用于设置池中的第一个 IP 地址。可以使用 Size 标签指定池中可用地址的数量。
例如,如果在池 10 中保留了从 192.168.1.1 至 192.168.1.100 的 IP 地址,则 Pool 部分中具有以下项:
[Pool 10] BaseAddress = 192.168.1.1 Size = 100
表 29-3 Pool 部分的标签和值
|
由于移动 IP 协议需要消息验证,因此必须使用安全参数索引 (security parameter index, SPI) 标识安全上下文。安全上下文可在 SPI 部分中定义。所定义的每个安全上下文必须包括一个不同的 SPI 部分。数字 ID 用于标识安全上下文。移动 IP 协议可保留前 256 个 SPI。因此,应仅使用大于 256 的 SPI 值。SPI 部分包含与安全相关的信息,如共享密钥和重放保护。
SPI 部分还包含 ReplayMethod 和 Key 标签。SPI 部分的语法如下:
[SPI SPI-identifier] ReplayMethod = <none/timestamps> Key = key
进行通信的对等双方必须共享相同的 SPI 标识符,并且必须使用相同的密钥和重放方法对双方进行配置。可以将密钥指定为由十六进制数字组成的字符串。最大长度为 16 个字节。例如,如果密钥的长度为 16 个字节,其中包含 0 至 f 之间的十六进制值,那么,密钥字符串可能与以下内容类似:
Key = 0102030405060708090a0b0c0d0e0f10
由于每个字节用两位数表示,因此密钥的位数一定为偶数。
表 29-4 SPI 部分的标签和值
|
Solaris 移动 IP 实现允许您使用以下三种方法之一配置移动节点。每种方法都在 Address 部分中配置。第一种方法遵循传统的移动 IP 协议,要求每个移动节点都有一个家乡地址。第二种方法允许通过移动节点的网络访问标识符 (Network Access Identifier, NAI) 来标识该移动节点。最后一种方法允许配置缺省移动节点,具有正确的 SPI 值和相关密钥资料的任何移动节点都可用作缺省移动节点。
移动节点的 Address 部分包含用来定义地址类型和 SPI 标识符的 Type 和 SPI 标签。Address 部分的语法如下:
[Address address] Type = node SPI = SPI-identifier
每个受支持的移动节点在家乡代理的配置文件中必须包括一个 Address 部分。
如果外地代理和家乡代理之间需要移动 IP 消息验证,则代理需要与之通信的每个对等方必须包括一个 Address 部分。
所配置的 SPI 值必须表示在配置文件中存在的 SPI 部分。
另外,还可以为移动节点配置专用地址。
下表介绍了可在移动节点的 Address 部分中使用的标签和值。
表 29-5 Address 部分的标签和值(移动节点)
|
移动代理的 Address 部分包含用来定义地址类型和 SPI 标识符的 Type 和 SPI 标签。移动代理的 Address 部分的语法如下:
[Address address] Type = agent SPI = SPI-identifier
每个受支持的移动代理在家乡代理的配置文件中必须包括一个 Address 部分。
如果外地代理和家乡代理之间需要移动 IP 消息验证,则代理需要与之通信的每个对等方必须包括一个 Address 部分。
所配置的 SPI 值必须表示在配置文件中存在的 SPI 部分。
下表介绍了可在移动代理的 Address 部分中使用的标签和值。
表 29-6 Address 部分的标签和值(移动代理)
|
由 NAI 标识的移动节点的 Address 部分包含 Type、SPI 和 Pool 标签。使用 NAI 参数,可以通过移动节点的 NAI 来标识移动节点。使用 NAI 参数的 Address 部分的语法如下:
[Address NAI] Type = Node SPI = SPI-identifier Pool = pool-identifier
要使用池,可以通过移动节点的 NAI 来标识移动节点。Address 部分允许您配置 NAI 而非家乡地址。NAI 采用格式 user@domain。可以使用 Pool 标签指定要使用哪个地址池来向移动节点分配家乡地址。
下表介绍了可在由 NAI 标识的移动节点的 Address 部分中使用的标签和值。
表 29-7 Address 部分的标签和值(由 NAI 标识的移动节点)
|
对于由 NAI 标识的移动节点,Address 部分中定义的 SPI 和 Pool 标签必须具有与其对应的 SPI 和 Pool 部分,如下图所示。
图 29-1 与由 NAI 标识的移动节点的 Address 部分相对应的 SPI 和 Pool 部分
缺省移动节点的 Address 部分包含 Type、SPI 和 Pool 标签。使用 Node-Default 参数,可以允许所有移动节点在具有正确 SPI(在该部分中定义)的情况下获取服务。使用 Node-Default 参数的 Address 部分的语法如下:
[Address Node-Default] Type = Node SPI = SPI-identifier Pool = pool-identifier
使用 Node-Default 参数可降低配置文件的大小。否则,每个移动节点都需要包含各自的部分。但是,Node-Default 参数会造成安全风险。如果由于某种原因而导致移动节点不再受信任,则需要更新有关所有受信任移动节点的安全信息。此任务可能非常繁琐。但是,可以在无需考虑安全风险的网络中使用 Node-Default 参数。
下表介绍了可在缺省移动节点的 Address 部分中使用的标签和值。
表 29-8 Address 部分的标签和值(缺省移动节点)
|
缺省移动节点的 Address 部分中定义的 SPI 和 Pool 标签必须有相对应的 SPI 和 Pool 部分,如下图所示。
图 29-2 与缺省移动节点的 Address 部分相对应的 SPI 和 Pool 部分