Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: interfaces y virtualización de redes Oracle Solaris 11 Information Library (Español) |
1. Descripción general de la pila de red
Configuración de red en esta versión de Oracle Solaris
La pila de red en Oracle Solaris
Dispositivos de red y nombres de enlaces de datos
Administración de otros tipos de enlaces
Parte I Conexión automática a la red (NWAM, Network Auto-Magic)
3. Configuración y administración de NWAM (descripción general)
4. Configuración de perfiles de NWAM (tareas)
5. Administración de perfiles de NWAM (tareas)
6. Acerca de la interfaz gráfica de usuario de NWAM
Parte II Configuración de interfaz y enlace de datos
7. Uso de comandos de configuración de interfaces y enlaces de datos en perfiles
8. Configuración y administración de enlaces de datos
9. Configuración de una interfaz IP
10. Configuración de las comunicaciones mediante interfaces inalámbricas en Oracle Solaris
12. Administración de agregaciones de enlaces
16. Intercambio de información de conectividad de red con LLDP
Parte III Virtualización de la red y gestión de los recursos
17. Introducción a la virtualización de redes y el control de recursos (descripción general)
18. Planificación para la virtualización de red y el control de recursos
19. Configuración de redes virtuales (tareas)
20. Uso de la protección de enlaces en entornos virtualizados
Configuración de la protección de enlaces (mapa de tareas)
Cómo habilitar el mecanismo de protección de enlaces
Cómo deshabilitar la protección de enlaces
Cómo especificar las direcciones IP para la protección contra la falsificación de IP
Cómo ver la configuración de protección de enlaces
21. Gestión de recursos de red
Con la adopción cada vez más habitual de la virtualización en las configuraciones del sistema, el administrador del host puede dar a las máquinas virtuales (MV) de invitado acceso exclusivo a un enlace físico o virtual. Esta configuración mejora el rendimiento de la red porque permite aislar el tráfico de red del entorno virtual del tráfico general que se envía o recibe mediante el sistema host. Al mismo tiempo, esta configuración puede exponer el sistema y toda la red al riesgo de los paquetes peligrosos que podría generar un entorno de invitado.
La protección de enlaces ayuda a evitar el daño que puedan llegar a causar a la red las máquinas virtuales de invitado que sean maliciosas. Esta función ofrece protección contra las siguientes amenazas básicas:
Falsificación de MAC e IP
Falsificación de marco L2, como la unidad de datos de protocolo puente (BPDU, Bridge Protocol Data Unit)
Nota - La protección de enlaces no debe reemplazar la implementación de un cortafuegos, particularmente en las configuraciones con requisitos de filtrado más complejos.
De manera predeterminada, el mecanismo de protección de enlaces viene deshabilitado. Para habilitar la protección de enlaces, especifique uno o más de los siguientes tipos de protección como valores de la propiedad de enlace protection:
Habilita la protección contra falsificación de MAC. La dirección MAC de origen de un paquete saliente debe coincidir con la dirección MAC configurada del enlace de datos. De lo contrario, el paquete se pierde. Si el enlace pertenece a una zona, la habilitación de mac-nospoof impide que el propietario de la zona modifique la dirección MAC del enlace.
Habilita la protección contra falsificación de IP. Cualquier paquete IP, ARP o NDP debe tener un campo de dirección que coincida con una dirección IP configurada con DHCP o una de las direcciones listadas en la propiedad de enlace allowed-ips. De lo contrario, el paquete se pierde.
La propiedad de enlace allowed-ips funciona con el tipo de protección ip-nospoof. De manera predeterminada, la lista especificada por esta propiedad está vacía. Si la propiedad está vacía o sin configurar, las siguientes direcciones IP se incluyen de manera implícita en la propiedad. Estas direcciones IP coinciden con la dirección IP de los paquetes salientes para determinar si los paquetes se transfieren o se pierden.
Las direcciones IPv4 o IPv6 configuradas con DHCP configurado que se aprenden dinámicamente
Las direcciones IPv6 locales de enlaces que cumplen con RFC 2464 y que se derivan de la dirección MAC del enlace
En la lista siguiente, se indica un protocolo y el correspondiente campo de la dirección asociada del paquete saliente que debe coincidir con una dirección de la propiedad allowed-ips. Si esta propiedad está vacía, la dirección del paquete debe coincidir con una dirección IP configurada con DHCP.
IP (IPv4 o IPv6): dirección de origen del paquete
ARP: dirección de protocolo del remitente del paquete
Restringe los paquetes salientes solamente a los paquetes de los tipos de protocolo IPv4, IPv6 y ARP. Los paquetes que no se incluyen en los tipos listados se pierden. Con este tipo de protección se impide que el enlace genere marcos de control L2 que puedan llegar a resultar perjudiciales.
Nota - El seguimiento de los paquetes que se pierden por la protección de enlaces se realizan mediante las siguientes estadísticas de núcleo: mac_spoofed, ip_spoofed y restricted. Estas estadísticas corresponden a los tres tipos protección. Utilice el comando kstat para recuperar estas estadísticas por enlace. Para obtener más información sobre la recuperación de estas estadísticas, consulte la página del comando man kstat(1M).