Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Interfaces réseau et virtualisation réseau Oracle Solaris 11 Information Library (Français) |
1. Présentation de la pile réseau
Configuration réseau dans cette version d'Oracle Solaris
Pile réseau dans Oracle Solaris
Noms des périphériques réseau et des liaisons de données
Administration d'autres types de liens
Partie I Configuration automatique de réseau
3. Configuration et administration NWAM (présentation)
4. Configuration de profil NWAM (tâches)
5. Administration des profils NWAM (tâches)
6. A propos de l'interface graphique NWAM
Partie II Configuration de liaisons de données et d'interfaces
8. Configuration et administration des liaisons de données
9. Configuration d'une interface IP
10. Configuration des communications via une interface sans fil sur Oracle Solaris
12. Administration de groupements de liens
13. Administration des réseaux locaux virtuels
16. Echange d'informations sur la connectivité réseau à l'aide du protocole LLDP
Partie III Virtualisation du réseau et gestion des ressources
17. Introduction à la virtualisation du réseau et au contrôle des ressources (présentation)
18. Planification de la virtualisation du réseau et du contrôle des ressources
19. Configuration des réseaux virtuels (tâches)
20. Utilisation de la protection des liens dans les environnements virtualisés
Configuration de la protection des liens (liste des tâches)
Activation du mécanisme de protection des liens
Désactivation de la protection des liens
Spécification des adresses IP pour la protection contre l'usurpation d'adresse IP
Affichage de la configuration de la protection des liens
21. Gestion des ressources réseau
22. Contrôle du trafic réseau et de l'utilisation des ressources
Avec la généralisation de la virtualisation dans les configurations système, l'administrateur de l'hôte peut donner un accès exclusif à un lien physique ou virtuel aux machines virtuelles (VM) invitées. Cette configuration améliore les performances du réseau, puisqu'elle permet d'isoler le trafic réseau de l'environnement virtuel du trafic général envoyé ou reçu par le système hôte. Dans le même temps, cette configuration peut exposer le système et l'ensemble du réseau au risque de paquets dangereux qu'un environnement invité peut générer.
La protection des liens vise à empêcher les dommages qui peuvent être causés au réseau par des machines virtuelles invitées potentiellement malveillantes. Cette fonction offre une protection contre les menaces basiques suivantes :
Usurpation d'adresses IP et MAC
Usurpation de trame L2, telles que les attaques Bridge Protocol Data Unit (BPDU)
Remarque - La protection des liens ne doit pas remplacer le déploiement d'un pare-feu, en particulier pour les configurations avec des exigences de filtrage complexes.
Par défaut, le mécanisme de protection des liens est désactivé. Pour activer la protection des liens, spécifiez un ou plusieurs des types de protection suivants en tant que valeurs pour la propriété de lien protection :
Active la protection contre l'usurpation d'adresse MAC. L'adresse MAC source d'un paquet sortant doit correspondre à l'adresse MAC configurée de la liaison de données. Dans le cas contraire, le paquet est supprimé. Si le lien appartient à une zone, l'activation de mac-nospoof empêche le propriétaire de la zone de modifier l'adresse MAC du lien.
Active la protection contre l'usurpation d'adresse IP. Tous les paquets IP, ARP ou NDP sortants doivent avoir un champ d'adresse qui correspond à une adresse IP configurée par DHCP ou à l'une des adresses répertoriées dans la propriété de lien allowed-ips. Dans le cas contraire, le paquet est supprimé.
La propriété de lien allowed-ips fonctionne avec le type de protection ip-nospoof . Par défaut, la liste spécifiée par cette propriété est vide. Si la propriété est vide ou non configurée, les adresses IP suivantes sont implicitement incluses dans la propriété. Ces adresses IP sont mises en correspondance avec l'adresse IP des paquets sortants afin de déterminer si les paquets sont autorisés à être transmis ou sont supprimés.
Adresses IPv4 ou IPv6 configurées par DHCP apprises dynamiquement
Liaison des adresses IPv6 locales conformes à la norme RFC 2464 et dérivées de l'adresse MAC du lien
La liste suivante indique un protocole et le champ d'adresse associé du paquet sortant correspondant, qui doit correspondre à une adresse dans la propriété allowed-ips . Si cette propriété est vide, l'adresse du paquet doit correspondre à une adresse IP configurée par DHCP.
IP (IPv4 ou IPv6) : adresse source du paquet
ARP : adresse du protocole émetteur du paquet
Restreint les paquets sortants aux seuls paquets avec des protocoles de types IPv4, IPv6 et ARP. Les autres paquets qui ne sont pas des types répertoriés sont supprimés. Ce type de protection empêche le lien de générer des trames de contrôle L2 potentiellement nuisibles.
Remarque - Les paquets supprimés en raison de la protection des liens font l'objet d'un suivi par les statistiques de noyau suivantes : mac_spoofed, ip_spoofed et restreint. Ces statistiques correspondent aux trois types de protection. Utilisez la commande kstat pour récupérer ces statistiques par lien. Pour plus d'informations sur la récupération de ces statistiques, reportez-vous à la page de manuel kstat(1M).