Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
Administration de tunnels IP dans cette version d'Oracle Solaris
Tunnels dans les environnements réseau combinant IPv6 et IPv4
Description du flux de paquets dans un tunnel 6to4
Informations importantes pour la création de tunnels vers un routeur relais 6to4
Exigences en matière de création de tunnels
Exigences relatives aux tunnels et aux interfaces IP
Configuration et administration du tunnel avec la commande dladm
Configuration des tunnels (liste des tâches)
Création et configuration d'un tunnel IP
Procédure de configuration d'un tunnel 6to4
Procédure de configuration d'un tunnel 6to4 relié à un routeur relais 6to4
Modification d'une configuration de tunnel IP
Affichage d'une configuration de tunnel IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Cette section décrit les procédures utilisant la commande dladm pour configurer les tunnels.
A partir de cette version d'Oracle Solaris, l'administration de tunnel est maintenant séparée de la configuration de l'interface IP. L'aspect données-liaison des tunnels IP est maintenant administré à l'aide de la commande dladm. En outre, la configuration d'interface IP, incluant l'interface de tunnel IP, s'effectue à l'aide de la commande ipadm.
Les sous-commandes dladm suivantes permettent de configurer les tunnels IP :
create-iptun
modify-iptun
show-iptun
delete-iptun
set-linkprop
Pour plus d'informations sur la commande dladm, reportez-vous à la page de manuel dladm(1M).
Remarque - L'administration de tunnels IP est étroitement liée à la configuration d'IPsec. Par exemple, les VPN IPsec sont l'une des utilisations principales de la mise sous tunnel IP. Pour plus d'informations sur la sécurité dans Oracle Solaris, reportez-vous à la section Partie III, IPsec. Pour configurer IPsec, reportez-vous au Chapitre 15, Configuration d'IPsec (tâches).
|
# dladm create-iptun [-t] -T type -a [local|remote]=addr,... tunnel-link
Les options ou arguments suivants sont disponibles pour cette commande :
Crée un tunnel temporaire. Par défaut, la commande crée un tunnel persistant.
Remarque - Si vous souhaitez configurer une interface IP sur le tunnel, vous devez créer un tunnel persistant et ne pas utiliser l'option -t.
Spécifie le type de tunnel à créer. Cet argument est requis pour créer tous les types de tunnel.
Spécifie les adresses IP littérales ou les noms d'hôte correspondant aux adresses locales et à l'adresse de tunnel distant. Les adresses doivent être valides et déjà créées dans le système. Suivant le type de tunnel, spécifiez soit une seule adresse, soit les adresses locales et distantes. Si vous spécifiez les adresses locales et distantes, vous devez les séparer à l'aide d'une virgule.
Les tunnels IPv4 nécessitent des adresses IPv4 locales et distantes pour fonctionner.
Les tunnels IPv6 nécessitent des adresses IPv6 locales et distantes pour fonctionner.
Les tunnels 6to4 nécessitent une adresse IPv4 locale pour fonctionner.
Remarque - Pour les configurations de liaison de données de tunnel IP, si vous utilisez des noms d'hôte en guise d'adresses, ces noms d'hôte sont enregistrés dans le stockage de configuration. Lors d'une initialisation ultérieure du système, si la résolution de noms donne des adresses IP différentes de celles utilisées lors de la création du tunnel, ce dernier acquiert une nouvelle configuration.
Spécifie la liaison de tunnel IP. Avec la prise en charge des noms significatifs dans une administration réseau-liaison, les noms de tunnel ne sont plus limités au type de tunnel que vous créez. En revanche, vous pouvez attribuer au tunnel tout nom choisi par l'administrateur. Les noms de tunnel se composent d'une chaîne et du numéro de point de connexion physique, par exemple, montunnel0. Pour connaître les règles régissant l'attribution de noms significatifs, reportez-vous à la section Règles applicables aux noms de lien valides du manuel Administration d’Oracle Solaris : interfaces réseau et virtualisation réseau.
Si vous ne spécifiez pas la liaison de tunnel, le nom est fourni automatiquement, conformément aux conventions d'attribution de nom suivantes :
Pour les tunnels IPv4 : ip.tun#
Pour les tunnels IPv6 : ip6.tun#
Pour les tunnels 6to4 : ip.6to4tun#
Le symbole # correspond au numéro de point de connexion physique le plus bas disponible pour le type de tunnel que vous êtes en train de créer.
# dladm set-linkprop -p [hoplimit=value] [encaplimit=value] tunnel-link
Spécifie la limte de saut de l'interface de tunnel pour la mise en tunnel sur IPv6. hoplimit est l'équivalent du champ IPv4 de durée de vie pour la mise en tunnel sur IPv4.
Spécifie le nombre de niveaux de tunnels imbriqués autorisés pour un paquet. Cette option s'applique uniquement aux tunnels IPv6.
Spécifie le nombre de niveaux de tunnels imbriqués autorisés pour un paquet. Cette option s'applique uniquement aux tunnels IPv6.
Remarque - Les valeurs définies pour hoplimit et encaplimit doivent être comprises dans une plage acceptable. hoplimit et encaplimit sont des propriétés de liaison de tunnel. Par conséquent, ces propriétés sont administrées par les mêmes sous-commandes dladm que pour les autres propriétés de liaison. Les sous-commandes sont dladm set-linkprop, dladm reset-linkprop et dladm show-linkprop. Reportez-vous à la page de manuel dladm(1M) pour connaître les différentes sous-commandes utilisées avec la commande dladm pour l'administration de liens.
# ipadm create-ip tunnel-interface
où tunnel-interface utilise le même nom que la liaison de tunnel.
# ipadm create-addr [-t] -T static -a local=address,remote=address addrobj
Indique une configuration d'IP temporaire plutôt qu'une configuration d'IP persistante sur le tunnel. Si vous n'utilisez pas cette option, la configuration d'interface IP est persistante.
Indique que les adresses IP statiques sont utilisées plutôt que les procédures d'IP dynamiques.
Spécifie l'adresse IP de l'interface de tunnel. Les adresses IP source et de destination sont requises, comme représenté par local et remote. Les adresses locales et distantes peuvent être des adresses IPv4 ou IPv6.
Spécifie l'objet d'adressage propriétaire des adresses locales et distantes. addrobj doit utiliser le format suivant : interface /chaîne-spécifiée-par-l'utilisateur. chaîne-spécifiée-par-l'utilisateur fait référence à une chaîne de caractères alphanumériques commençant par une lettre et dont la taille ne dépasse pas 32 caractères.
Pour plus d'informations sur la commande ipadm et les différentes options de configuration des interfaces IP, incluant les interfaces de tunnel, reportez-vous à la page de manuel ipadm(1M) et à la section Partie II, Configuration de liaisons de données et d’interfaces du manuel Administration d’Oracle Solaris : interfaces réseau et virtualisation réseau.
# ipadm show-addr interface
Exemple 6-1 Création d'une interface IPv6 sur un tunnel IPv4
Cet exemple illustre comment créer un IPv6 persistant sur un tunnel IPv4.
# dladm create-iptun -T ipv4 -a local=63.1.2.3,remote=192.4.5.6 private0 # dladm set-linkprop -p hoplimit=200 private0 # ipadm create-ip private0 # ipadm create-addr -T addrconf private0/v6 # ipadm show-addr private/ ADDROBJ TYPE STATE ADDR private0/v6 static ok fe80::a08:392e/10 --> fe80::8191:9a56
Pour ajouter d'autres adresses, utilisez la même syntaxe avec une chaîne-spécifiée-par-l'utilisateur différente pour addrobj. Par exemple, vous pouvez ajouter une adresse globale comme suit :
# ipadm create-addr -T static -a local=2001:db8:4728::1, \ remote=2001:db8:4728::2 private0/global # ipadm show-addr private0/ ADDROBJ TYPE STATE ADDR private0/v6 addrconf ok fe80::a08:392e/10 --> fe80::8191:9a56 private0/global static ok 2001:db8:4728::1 --> 2001:db8:4728::2
Notez que le préfixe 2001:db8 de l'adresse IPv6 est un préfixe IPv6 spécial utilisé spécifiquement pour les exemples de documentation. Pour une description des adresses et du format IPv6, reportez-vous à la section Présentation de l’adressage IPv6 du manuel Guide d’administration système : services IP.
Exemple 6-2 Création d'une interface IPv4 sur un tunnel IPv4
Cet exemple illustre comment créer un IPv4 persistant sur un tunnel IPv4.
# dladm create-iptun -T ipv4 -a local=63.1.2.3,remote=192.4.5.6 vpn0 # ipadm create-ip vpn0 # ipadm create-addr -T static -a local=10.0.0.1,remote=10.0.0.2 vpn0/v4 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1 vpn0/v4 static ok 10.0.0.1-->10.0.0.2
Vous pouvez configurer la stratégie IPsec davantage pour fournir des connexions sécurisées aux paquets circulant dans ce tunnel. Pour plus d'informations sur la configuration d'IPsec, reportez-vous au Chapitre 15, Configuration d'IPsec (tâches).
Exemple 6-3 Création d'une interface IPv6 sur un tunnel IPv6
Cet exemple illustre comment créer un IPv6 persistant sur un tunnel IPv6.
# dladm create-iptun -T ipv6 -a local=2001:db8:feed::1234,remote=2001:db8:beef::4321 \ tun0 # ipadm create-ip tun0 # ipadm create-addr -T addrconf tun0/v6 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v6 static ok ::1/128 tun0/v6 addrconf ok 2001:db8:feed::1234 --> 2001:db8:beef::4321
Pour ajouter des adresses comme une adresse globale ou d'autres adresses locales et distantes, utilisez la commande ipadm comme suit :
# ipadm create-addr -T static \ -a local=2001:db8::4728:56bc,remote=2001:db8::1428:57ab tun0/alt # ipadm show-addr tun0/ ADDROBJ TYPE STATE ADDR tun0/v6 addrconf ok 2001:db8:feed::1234 --> 2001:db8:beef::4321 tun0/alt static ok 2001:db8::4728:56bc --> 2001:db8::1428:57ab
Dans les tunnels 6to4, un routeur 6to4 doit agir en tant que routeur IPv6 pour les noeuds des sites 6to4 du réseau. Par conséquent, lors de la configuration d'un routeur 6to4, ce routeur doit également être configuré en tant que routeur IPv6 sur ses interfaces physiques. Pour plus d'informations sur le routage IPv6, reportez-vous à la section Routage IPv6.
# dladm create-iptun -T 6to4 -a local=address tunnel-link
Les options ou arguments suivants sont disponibles pour cette commande :
Spécifie l'adresse locale de tunnel qui doit déjà exister dans le système pour être valide.
Spécifie la liaison de tunnel IP. Avec la prise en charge des noms significatifs dans une administration réseau-liaison, les noms de tunnel ne sont plus limités au type de tunnel que vous créez. En revanche, vous pouvez attribuer au tunnel tout nom choisi par l'administrateur. Les noms de tunnel se composent d'une chaîne et du numéro de point de connexion physique, par exemple, montunnel0. Pour connaître les règles régissant l'attribution de noms significatifs, reportez-vous à la section Règles applicables aux noms de lien valides du manuel Administration d’Oracle Solaris : interfaces réseau et virtualisation réseau.
# ipadm create-ip tunnel-interface
où tunnel-interface utilise le même nom que la liaison de tunnel.
if subnet-interface AdvSendAdvertisements 1 IPv6-address subnet-interface
La première ligne spécifie le sous-réseau qui reçoit cette publication. subnet-interface fait référence à la liaison à laquelle est connecté le sous-réseau. Les adresses IPv6 sur la seconde ligne doivent avoir le préfixe 6to4 2000 qui est utilisé pour les adresses IPv6 dans les tunnels 6to4.
Pour obtenir des informations détaillées sur le fichier ndpd.conf, reportez-vous à la page de manuel ndpd.conf(4).
# ipadm set-prop -p forwarding=on ipv6
Vous pouvez également exécuter la commande sighup sur le démon de /etc/inet/in.ndpd pour commencer la publication du routeur. Les noeuds IPv6 de chaque sous-réseau devant recevoir le préfixe 6to4 sont alors automatiquement définis sur les nouvelles adresses 6to4 dérivées.
Vous trouverez les instructions correspondantes dans la section Configuration de prise en charge de services de noms pour IPv6.
Exemple 6-4 Création de tunnel 6to4
Dans cet exemple, l'interface de sous-réseau est bge0, à laquelle /etc/inet/ndpd.conf fait référence dans l'étape adéquate.
Cet exemple indique comment créer un tunnel 6to4. Notez que seules les interfaces IPv6 peuvent être configurées sur les tunnels 6to4.
# dladm create-iptun -T 6to4 -a local=192.168.35.10 tun0 # ipadm create-ip tun0 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 bge0/static static ok 192.168.35.10/24 lo0/v6 static ok ::1/128 tun0/_a static ok 2002:c0a8:57bc::1/64 # ipadm create-addr -T static -a 2002:c0a8:230a::2/16 tun0/a2 # ipadm create-addr -T static -a 2002:c0a8:230a::3/16 tun0/a3 # ipadm show-addr tun0/ ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 bge0/static static ok 192.168.35.10/24 lo0/v6 static ok ::1/128 tun0/_a static ok 2002:c0a8:57bc::1/64 tun0/a2 static ok 2002:c0a8:230a::2/16 tun0/a3 static ok 2002:c0a8:230a::3/16 # vi /etc/inet/ndpd.conf if bge0 AdvSendAdvertisements 1 2002:c0a8:57bc::1/64 bge0 # ipadm set-prop -p forwarding=on ipv6
Notez que pour les tunnels 6to4, le préfixe de l'adresse IPv6 est 2002. Pour de plus amples explications, reportez-vous à la section Préfixes d’IPv6 du manuel Guide d’administration système : services IP.
Attention - Pour des raisons de sécurité, la prise en charge des routeurs relais 6to4 est désactivée par défaut dans Oracle Solaris. Voir Problèmes de sécurité lors de la création d'un tunnel vers un routeur relais 6to4. |
Avant de commencer
Avant de configurer un tunnel relié à un routeur relais 6to4, vous devez avoir effectué les tâches suivantes :
Configuration d'un routeur 6to4 sur votre site, comme décrit dans la section Création et configuration d'un tunnel IP
Vérification des problèmes de sécurité susceptibles de se produire avec un tunnel relié à un routeur relais 6to4
Liaison a un routeur relais 6to4 de type anycast.
# /usr/sbin/6to4relay -e
L'option -e configure un tunnel entre le routeur 6to4 et un routeur relais 6to4 anycast. Les routeurs relais 6to4 anycast possèdent l'adresse IPv4 courante 192.88.99.1. Le routeur relais anycast le plus proche (physiquement) de votre site devient le point d'extrémité du tunnel 6to4. Ce routeur relais gère ensuite l'envoi des paquets entre votre site 6to4 et un site IPv6 natif.
Pour plus d'informations sur les routeurs relais 6to4 Anycast, reportez-vous à la page RFC 3068, "An Anycast Prefix for 6to4 Relay Routers".
Liaison a un routeur relais 6to4 de type spécifique.
# /usr/sbin/6to4relay -e -a relay-router-address
L'option -a est toujours suivie d'une adresse de routeur spécifique. Remplacez relay-router-address par l'adresse IPv4 du routeur relais 6to4 spécifique que vous souhaitez relier au tunnel.
Le tunnel relié au routeur relais 6to4 reste actif pendant la suppression de la pseudointerface du tunnel 6to4.
# /usr/sbin/6to4relay -d
Si votre site requiert, pour quelque raison qu'il soit, que les paramètres du tunnel relié au routeur relais 6to4 soient redéclarés à chaque redémarrage du routeur, effectuez la procédure suivante :
La ligne à modifier se trouve à la fin du fichier.
Pour le paramètre RELAY6TO4ADDR, remplacez l'adresse 192.88.99.1 par l'adresse IPv4 du routeur relais 6to4 à utiliser.
Exemple 6-5 Obtention d'informations sur le statut de la prise en charge des routeurs relais 6to4
La commande /usr/bin/6to4relay vous permet de savoir si les routeurs relais 6to4 sont pris en charge ou non par votre site. L'exemple suivant présente la sortie obtenue lorsque les routeurs relais 6to4 ne sont pas pris en charge (sortie par défaut d'Oracle Solaris) :
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is disabled.
Lorsque les routeurs relais 6to4 sont pris en charge, la sortie suivante s'affiche :
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is enabled. IPv4 remote address of Relay Router=192.88.99.1
# dladm modify-iptun -a [local|remote]=addr,... tunnel-link
Vous ne pouvez pas modifier le type d'un tunnel existant. Par conséquent, l'option -T type n'est pas autorisée pour cette commande. Seuls les paramètres de tunnel suivants peuvent être modifiés :
Spécifie les adresses IP littérales ou les noms d'hôte correspondant aux adresses locales et à l'adresse de tunnel distant. Suivant le type de tunnel, spécifiez soit une seule adresse, soit les adresses locales et distantes. Si vous spécifiez les adresses locales et distantes, vous devez les séparer à l'aide d'une virgule.
Les tunnels IPv4 nécessitent des adresses IPv4 locales et distantes pour fonctionner.
Les tunnels IPv6 nécessitent des adresses IPv6 locales et distantes pour fonctionner.
Les tunnels 6to4 nécessitent une adresse IPv4 locale pour fonctionner.
Pour les configurations de liaison de données de tunnel IP, si vous utilisez des noms d'hôte en guise d'adresses, ces noms d'hôte sont enregistrés dans le stockage de configuration. Lors d'une initialisation ultérieure du système, si la résolution de noms donne des adresses IP différentes de celles utilisées lors de la création du tunnel, ce dernier acquiert une nouvelle configuration.
Si vous modifiez les adresses locales et distantes du tunnel, assurez-vous que ces adresses sont cohérentes par rapport au type de tunnel que vous modifiez.
Remarque - Si vous souhaitez modifier le nom de la liaison de tunnel, n'utilisez pas la sous-commande modify-iptun. Utilisez plutôt dladm rename-link.
# dladm rename-link old-tunnel-link new-tunnel-link
De même, n'utilisez pas la commande modify-iptun pour modifier les propriétés de tunnel telles que hoplimit ou encaplimit . Préférez la commande dladm set-linkprop pour définir les valeurs de ces propriétés.
Exemple 6-6 Modification de l'adresse et des propriétés d'un tunnel
Cet exemple comporte deux procédures. Tout d'abord, les adresses locales et distantes du tunnel IPv4 vpn0 sont modifiées temporairement. Une fois le système réinitialisé, le tunnel revient à l'utilisation des adresses d'origine. Une seconde procédure modifie la valeur hoplimit de vpn0 à 60.
# dladm modify-iptun -t -a local=10.8.48.149,remote=192.1.2.3 vpn0 # dladm set-linkprop -p hoplimit=60 vpn0
# dladm show-iptun [-p] -o fields [tunnel-link]
Vous pouvez utiliser les options avec la commande :
Affiche les informations dans une format analysable. Cet argument est facultatif.
Affiche les champs sélectionnés qui fournissent des informations spécifiques au tunnel.
Spécifie le tunnel dont vous souhaitez afficher les informations de configuration. Cet argument est facultatif. Si vous omettez le nom de tunnel, la commande affiche les informations à propos de tous les tunnels du système.
Exemple 6-7 Affichage des informations à propos de tous les tunnels
Dans cet exemple, un seul tunnel existe sur le système.
# dladm show-iptun LINK TYPE FLAGS LOCAL REMOTE tun0 6to4 -- 192.168.35.10 -- vpn0 ipv4 -- 10.8.48.149 192.1.2.3
Exemple 6-8 Affichage de champs sélectionnés dans un format analysable
Dans cet exemple, seuls les champs spécifiques comportant des informations sur les tunnels sont affichés.
# dladm show-iptun -p -o link,type,local tun0:6to4:192.168.35.10 vpn0:ipv4:10.8.48.149
# dladm show-linkprop [-c] [-o fields] [tunnel-link]
Vous pouvez utiliser les options avec la commande :
Affiche les informations dans une format analysable. Cet argument est facultatif.
Affiche les champs sélectionnés fournissant des informations spécifiques à propos des propriétés du lien.
Spécifie le tunnel dont vous souhaitez afficher les informations sur les propriétés. Cet argument est facultatif. Si vous omettez le nom de tunnel, la commande affiche les informations à propos de tous les tunnels du système.
Exemple 6-9 Affichage des propriétés d'un tunnel
Cet exemple indique comment afficher toutes les propriétés d'une liaison de tunnel.
# dladm show-linkprop tun0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE tun0 autopush -- -- -- -- tun0 zone rw -- -- -- tun0 state r- up up up,down tun0 mtu r- 65515 -- 576-65495 tun0 maxbw rw -- -- -- tun0 cpus rw -- -- -- tun0 priority rw high high low,medium,high tun0 hoplimit rw 64 64 1-255
# ipadm delete-ip tunnel-link
Remarque - Pour supprimer un tunnel correctement, aucune interface IP existante ne peut être montée sur le tunnel.
# dladm delete-iptun tunnel-link
La seule option pour cette commande est -t, laquelle entraîne une suppression temporaire du tunnel. Le tunnel est restauré lors de la réinitialisation du système.
Exemple 6-10 Suppression d'un tunnel IPv6 configuré avec une interface IPv6
Dans cet exemple, un tunnel persistant est supprimé définitivement.
# ipadm delete-ip ip6.tun0 # dladm delete-iptun ip6.tun0