Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios IP Oracle Solaris 11 Information Library (Español) |
Parte I Administración de TCP/IP
1. Planificación de la implementación de red
2. Consideraciones para el uso de direcciones IPv6
3. Configuración de una red IPv4
4. Habilitación de IPv6 en una red
5. Administración de una red TCP/IP
6. Configuración de túneles IP
Descripción general de túneles IP
Administración de túneles IP en esta versión de Oracle Solaris
Túneles en los entornos de red IPv6 e IPv4 combinados
Configuración de un túnel 6to4
Flujo de paquetes a través del túnel 6to4
Consideraciones para túneles hasta un enrutador de reenvío 6to4
Requisitos para túneles e interfaces IP
Configuración y administración de túneles con el comando dladm
Configuración de túneles (mapa de tareas)
Cómo crear y configurar un túnel IP
Cómo configurar un túnel 6to4 hasta un enrutador de reenvío 6to4
Cómo modificar una configuración de túnel IP
Cómo visualizar una configuración de túnel IP
7. Resolución de problemas de red
10. Acerca de DHCP (descripción general)
11. Administración del servicio DHCP de ISC
12. Configuración y administración del cliente DHCP
13. Comandos y archivos DHCP (referencia)
14. Arquitectura de seguridad IP (descripción general)
15. Configuración de IPsec (tareas)
16. Arquitectura de seguridad IP (referencia)
17. Intercambio de claves de Internet (descripción general)
18. Configuración de IKE (tareas)
19. Intercambio de claves de Internet (referencia)
20. Filtro IP en Oracle Solaris (descripción general)
22. Descripción general del equilibrador de carga integrado
23. Configuración del equilibrador de carga integrado (tareas)
24. Protocolo de redundancia de enrutador virtual (descripción general)
25. Configuración VRRP (tareas)
26. Implementación del control de congestión
Parte V Calidad de servicio IP (IPQoS)
27. Introducción a IPQoS (descripción general)
28. Planificación para una red con IPQoS (tareas)
29. Creación del archivo de configuración IPQoS (tareas)
30. Inicio y mantenimiento de IPQoS (tareas)
31. Uso de control de flujo y recopilación de estadísticas (tareas)
En esta sección, se describen los procedimientos que utiliza el comando dladm para configurar túneles.
A partir de esta versión de Oracle Solaris, la administración de túneles es independiente de la configuración de la interfaz IP. El aspecto de enlace de datos de los túneles IP ahora se administra con el comando dladm. Además, la configuración de la interfaz IP, incluida la interfaz de túnel IP, se realiza con el comando ipadm.
Para configurar túneles IP se utilizan los siguientes subcomandos de dladm:
create-iptun
modify-iptun
show-iptun
delete-iptun
set-linkprop
Para obtener detalles sobre el comando dladm, consulte la página del comando man dladm(1M).
Nota - La administración de túneles IP está estrechamente relacionada con la configuración de IPsec. Por ejemplo, las redes privadas virtuales (VPN) IPsec constituyen uno de los principales usos de la creación de túneles IP. Para obtener más información sobre la seguridad en Oracle Solaris, consulte la Parte III, Seguridad IP. Para configurar IPsec, consulte el Capítulo 15, Configuración de IPsec (tareas).
|
# dladm create-iptun [-t] -T type -a [local|remote]=addr,... tunnel-link
Para este comando, están disponibles las opciones o los argumentos siguientes:
Crea un túnel temporal. De manera predeterminada, el comando crea un túnel persistente.
Nota - Si desea configurar una interfaz IP persistente en el túnel, debe crear un túnel persistente y no utilizar la opción -t.
Especifica el tipo de túnel que desea crear. Este argumento es necesario para crear todos los tipos de túneles.
Especifica los nombres de host o las direcciones IP literales que corresponden a la dirección local y a la dirección de túnel remota. Las direcciones deben ser válidas y ya deben estar creadas en el sistema. Según el tipo de túnel, debe especificar una sola dirección o ambas direcciones (locales y remotas). Si especifica direcciones locales y remotas, debe separarlas con una coma.
Los túneles IPv4 requieren direcciones IPv4 locales y remotas para funcionar.
Los túneles IPv6 requieren direcciones IPv6 locales y remotas para funcionar.
Los túneles 6to4 requieren una dirección IPv4 local para funcionar.
Nota - Para configuraciones de enlace de datos de túneles IP, si está utilizando nombres de host para las direcciones, estos nombres de host se guardan en el almacenamiento de la configuración. Durante un inicio posterior del sistema, si el nombre remite a direcciones IP distintas de las direcciones IP utilizadas cuando se creó el túnel, el túnel adquiere una nueva configuración.
Especifica el enlace de túnel IP. Al admitir nombres significativos en una administración de enlace de red, los nombres de los túneles ya no se restringen al tipo de túnel que se está creando. En cambio, se puede asignar a un túnel cualquier nombre elegido administrativamente. Los nombres de túneles está formados por una cadena y el número de punto físico de conexión (PPA), por ejemplo, mitúnel0. Para conocer las reglas que rigen la asignación de nombres significativos, consulte Reglas para nombres de enlace válidos de Administración de Oracle Solaris: interfaces y virtualización de redes.
Si no especifica el enlace de túnel, el nombre se proporciona automáticamente según las convenciones de denominación siguientes:
Para túneles IPv4: ip.tun#
Para túneles IPv6: ip6.tun#
Para túneles 6to4: ip.6to4tun#
# corresponde al número de PPA más bajo disponible para el tipo de túnel que se está creando.
# dladm set-linkprop -p [hoplimit=value] [encaplimit=value] tunnel-link
Especifica el límite de salto de la interfaz de túnel para la creación de túneles en IPv6. El valor de hoplimit es equivalente al campo de tiempo de vida (TTL) de IPv4 para la creación de túneles en IPv4.
Especifica el número de niveles de creación de túneles anidados permitidos para un paquete. Esta opción se aplica únicamente a túneles IPv6.
Especifica el número de niveles de creación de túneles anidados permitidos para un paquete. Esta opción se aplica únicamente a túneles IPv6.
Nota - Los valores establecidos para hoplimit y encaplimit deben estar dentro de rangos aceptables. hoplimit y encaplimit son propiedades de enlace de túnel. Por lo tanto, estas propiedades se administran con los mismos subcomandos dladm que otras propiedades de enlace. Los subcomandos son dladm set-linkprop, dladm reset-linkprop y dladm show-linkprop. Consulte la página del comando man dladm(1M) para conocer los distintos subcomandos que se utilizan con el comando dladm para administrar enlaces.
# ipadm create-ip tunnel-interface
Donde interfaz_túnel utiliza el mismo nombre que el enlace de túnel.
# ipadm create-addr [-t] -T static -a local=address,remote=address addrobj
Indica una configuración IP temporal en lugar de una configuración IP persistente en el túnel. Si no utiliza esta opción, la configuración de la interfaz IP es persistente.
Indica que se utilizan direcciones IP estáticas en lugar de los procedimientos IP dinámicos.
Especifica las direcciones IP de la interfaz de túnel. Se requieren direcciones IP de origen y de destino, representadas por local y remote. Las direcciones locales y remotas pueden ser direcciones IPv4 o IPv6.
Especifica el objeto de dirección que es propietario de las direcciones locales y remotas. objeto_dirección debe usar el formato interfaz /cadena_especificada_usuario. La cadena_especificada_usuario se refiere a una cadena de caracteres alfanuméricos que comienza con un carácter alfabético y tiene una longitud máxima de 32 caracteres.
Para obtener más información sobre el comando ipadm y las diferentes opciones para configurar interfaces IP, incluidos los túneles de interfaces, consulte la página del comando man ipadm(1M) y la Parte II, Configuración de interfaz y enlace de datos de Administración de Oracle Solaris: interfaces y virtualización de redes.
# ipadm show-addr interface
Ejemplo 6-1 Creación de una interfaz IPv6 en un túnel IPv4
En este ejemplo, se muestra cómo crear una IPv6 persistente en un túnel IPv4.
# dladm create-iptun -T ipv4 -a local=63.1.2.3,remote=192.4.5.6 private0 # dladm set-linkprop -p hoplimit=200 private0 # ipadm create-ip private0 # ipadm create-addr -T addrconf private0/v6 # ipadm show-addr private/ ADDROBJ TYPE STATE ADDR private0/v6 static ok fe80::a08:392e/10 --> fe80::8191:9a56
Para agregar direcciones alternativas, utilice la misma sintaxis y una cadena_especificada_usuario distinta para objeto_dirección. Por ejemplo, puede agregar una dirección global de la siguiente manera:
# ipadm create-addr -T static -a local=2001:db8:4728::1, \ remote=2001:db8:4728::2 private0/global # ipadm show-addr private0/ ADDROBJ TYPE STATE ADDR private0/v6 addrconf ok fe80::a08:392e/10 --> fe80::8191:9a56 private0/global static ok 2001:db8:4728::1 --> 2001:db8:4728::2
Tenga en cuenta que el prefijo 2001:db8 para las direcciones IPv6 es un prefijo IPv6 especial que se utiliza específicamente para ejemplos de documentación. Para obtener una descripción del formato y las direcciones IPv6, consulte Descripción general de las direcciones IPv6 de Guía de administración del sistema: servicios IP.
Ejemplo 6-2 Creación de una interfaz IPv4 en un túnel IPv4
En este ejemplo, se muestra cómo crear una IPv4 persistente en un túnel IPv4.
# dladm create-iptun -T ipv4 -a local=63.1.2.3,remote=192.4.5.6 vpn0 # ipadm create-ip vpn0 # ipadm create-addr -T static -a local=10.0.0.1,remote=10.0.0.2 vpn0/v4 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1 vpn0/v4 static ok 10.0.0.1-->10.0.0.2
Puede configurar, además, una política IPsec para proporcionar conexiones seguras para los paquetes que pasan por este túnel. Para obtener información sobre la configuración de IPsec, consulte el Capítulo 15, Configuración de IPsec (tareas).
Ejemplo 6-3 Creación de una interfaz IPv6 en un túnel IPv6
En este ejemplo, se muestra cómo crear una IPv6 persistente en un túnel IPv6.
# dladm create-iptun -T ipv6 -a local=2001:db8:feed::1234,remote=2001:db8:beef::4321 \ tun0 # ipadm create-ip tun0 # ipadm create-addr -T addrconf tun0/v6 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v6 static ok ::1/128 tun0/v6 addrconf ok 2001:db8:feed::1234 --> 2001:db8:beef::4321
Par agregar direcciones, como una dirección global o direcciones locales y remotas alternativas, utilice el comando ipadm de la siguiente manera:
# ipadm create-addr -T static \ -a local=2001:db8::4728:56bc,remote=2001:db8::1428:57ab tun0/alt # ipadm show-addr tun0/ ADDROBJ TYPE STATE ADDR tun0/v6 addrconf ok 2001:db8:feed::1234 --> 2001:db8:beef::4321 tun0/alt static ok 2001:db8::4728:56bc --> 2001:db8::1428:57ab
En túneles 6to4, un enrutador 6to4 debe actuar como enrutador IPv6 para los nodos de los sitios 6to4 de la red. Por lo tanto, al configurar un enrutador 6to4, ese enrutador también debe estar configurado como enrutador IPv6 en las interfaces físicas. Para obtener más información sobre los enrutadores IPv6, consulte Enrutamiento de IPv6.
# dladm create-iptun -T 6to4 -a local=address tunnel-link
Para este comando, están disponibles las opciones o los argumentos siguientes:
Especifica la dirección local del túnel, que ya debe existir en el sistema para ser una dirección válida.
Especifica el enlace de túnel IP. Al admitir nombres significativos en una administración de enlace de red, los nombres de los túneles ya no se restringen al tipo de túnel que se está creando. En cambio, se puede asignar a un túnel cualquier nombre elegido administrativamente. Los nombres de túneles está formados por una cadena y el número de PPA, por ejemplo, mitúnel0. Para conocer las reglas que rigen la asignación de nombres significativos, consulte Reglas para nombres de enlace válidos de Administración de Oracle Solaris: interfaces y virtualización de redes.
# ipadm create-ip tunnel-interface
Donde interfaz_túnel utiliza el mismo nombre que el enlace de túnel.
if subnet-interface AdvSendAdvertisements 1 IPv6-address subnet-interface
La primera línea especifica la subred que recibe el anuncio. Donde interfaz_subred se refiere al enlace al que está conectada la subred. La dirección IPv6 de la segunda línea debe tener el prefijo 6to4 2000 que se utiliza para direcciones IPv6 en túneles 6to4.
Para obtener información detallada sobre el archivo ndpd.conf, consulte la página del comando man ndpd.conf(4).
# ipadm set-prop -p forwarding=on ipv6
También puede enviar un comando sighup al daemon /etc/inet/in.ndpd para que empiece a enviar anuncios de enrutador. Los nodos IPv6 de cada subred que recibirá el prefijo 6to4 se autoconfiguran con las nuevas direcciones derivadas 6to4.
Si necesita instrucciones, consulte Configuración de la compatibilidad con el servicio de nombres para IPv6.
Ejemplo 6-4 Creación de un túnel 6to4
En este ejemplo, la interfaz de subred es bge0, a la que se referirá /etc/inet/ndpd.conf en el paso correspondiente.
En este ejemplo, se muestra cómo crear un túnel 6to4. Tenga en cuenta que únicamente las interfaces IPv6 se pueden configurar en túneles 6to4.
# dladm create-iptun -T 6to4 -a local=192.168.35.10 tun0 # ipadm create-ip tun0 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 bge0/static static ok 192.168.35.10/24 lo0/v6 static ok ::1/128 tun0/_a static ok 2002:c0a8:57bc::1/64 # ipadm create-addr -T static -a 2002:c0a8:230a::2/16 tun0/a2 # ipadm create-addr -T static -a 2002:c0a8:230a::3/16 tun0/a3 # ipadm show-addr tun0/ ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 bge0/static static ok 192.168.35.10/24 lo0/v6 static ok ::1/128 tun0/_a static ok 2002:c0a8:57bc::1/64 tun0/a2 static ok 2002:c0a8:230a::2/16 tun0/a3 static ok 2002:c0a8:230a::3/16 # vi /etc/inet/ndpd.conf if bge0 AdvSendAdvertisements 1 2002:c0a8:57bc::1/64 bge0 # ipadm set-prop -p forwarding=on ipv6
Tenga en cuenta que para los túneles 6to4, el prefijo para la dirección IPv6 es 2002. Para obtener más explicaciones, consulte Prefijos de IPv6 de Guía de administración del sistema: servicios IP.
Precaución - Por problemas graves de seguridad, Oracle Solaris tiene inhabilitada la compatibilidad con enrutadores de reenvío. Consulte Cuestiones de seguridad al transmitir datos mediante túnel a un enrutador de reenvío 6to4. |
Antes de empezar
Antes de habilitar un túnel hasta un enrutador de reenvío 6to4, debe haber realizado las siguientes tareas:
Configurar un enrutador 6to4 en el sitio, como se explica en Cómo crear y configurar un túnel IP
Revisar los problemas de seguridad relacionados con el establecimiento de un túnel hasta un enrutador de reenvío 6to4
Activar un túnel a un enrutador de reenvío 6to4 de difusión por proximidad.
# /usr/sbin/6to4relay -e
La opción -e establece un túnel entre el enrutador 6to4 y un enrutador de reenvío 6to4 de difusión por proximidad. Los enrutadores de reenvío 6to4 de difusión por proximidad tienen la dirección IPv4 192.88.99.1. El enrutador de reenvío de difusión por proximidad que se encuentre más cerca físicamente de su ubicación pasa a ser el punto final del túnel 6to4. Este enrutador de reenvío gestiona el reenvío de paquetes entre su ubicación 6to4 y una ubicación IPv6 nativa.
Si necesita información detallada sobre enrutadores de reenvío 6to4 de difusión por proximidad, consulte RFC 3068, "An Anycast Prefix for 6to 4 Relay Routers".
Habilite un túnel hasta un enrutador de reenvío 6to4 específico.
# /usr/sbin/6to4relay -e -a relay-router-address
La opción -a indica que a continuación se especifica una dirección de un enrutador determinado. Reemplace dirección_enrutador_reenvío con la dirección IPv4 del enrutador de reenvío 6to4 específico con el que quiera establecer un túnel.
El túnel hasta el enrutador de reenvío 6to4 permanece activo hasta que se elimine la pseudointerfaz de túnel 6to4.
# /usr/sbin/6to4relay -d
Es posible que en su ubicación sea necesario restablecer el túnel hasta el enrutador de reenvío 6to4 cada vez que se reinicia en enrutador 6to4. Para ello, debe hacer lo siguiente:
La línea que se debe modificar se encuentra al final del archivo.
En el parámetro RELAY6TO4ADDR, cambie la dirección 192.88.99.1 por la dirección IPv4 del enrutador de reenvío 6to4 que quiera usar.
Ejemplo 6-5 Obtención de información de estado sobre la compatibilidad con enrutador de reenvío 6to4
Puede usar el comando /usr/bin/6to4relay para averiguar si la compatibilidad con enrutadores de reenvío 6to4 está activada. El siguiente ejemplo muestra el resultado cuando la compatibilidad con enrutadores de reenvío 6to4 está desactivada, que es la opción predeterminada en Oracle Solaris:
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is disabled.
Si la compatibilidad con enrutadores de reenvío 6to4 está activada, recibirá el siguiente resultado:
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is enabled. IPv4 remote address of Relay Router=192.88.99.1
# dladm modify-iptun -a [local|remote]=addr,... tunnel-link
No puede modificar el tipo de un túnel existente. Por lo tanto, la opción -T tipo no se permite para este comando. Únicamente pueden modificarse los parámetros de túnel siguientes:
Especifica los nombres de host o las direcciones IP literales que corresponden a la dirección local y a la dirección de túnel remota. Según el tipo de túnel, debe especificar una sola dirección o ambas direcciones (locales y remotas). Si especifica direcciones locales y remotas, debe separarlas con una coma.
Los túneles IPv4 requieren direcciones IPv4 locales y remotas para funcionar.
Los túneles IPv6 requieren direcciones IPv6 locales y remotas para funcionar.
Los túneles 6to4 requieren una dirección IPv4 local para funcionar.
Para configuraciones de enlace de datos de túneles IP, si está utilizando nombres de host para las direcciones, estos nombres de host se guardan en el almacenamiento de la configuración. Durante un inicio posterior del sistema, si el nombre remite a direcciones IP distintas de las direcciones IP utilizadas cuando se creó el túnel, el túnel adquiere una nueva configuración.
Si está cambiando las direcciones locales y remotas del túnel, asegúrese de que estas direcciones sean coherentes con el tipo de túnel que está modificando.
Nota - Si desea cambiar el nombre del enlace de túnel, no utilice el subcomando modify-iptun. En cambio, utilice dladm rename-link.
# dladm rename-link old-tunnel-link new-tunnel-link
De manera similar, no utilice el comando modify-iptun para cambiar las propiedades del túnel, como hoplimit o encaplimit. En cambio, utilice el comando dladm set-linkprop para configurar valores para estas propiedades.
Ejemplo 6-6 Modificación de la dirección y las propiedades de un túnel
Este ejemplo consta de dos procedimientos. En primer lugar, las direcciones locales y remotas del túnel IPv4 vpn0 se cambian temporalmente. Cuando el sistema se reinicia más adelante, el túnel vuelve a utilizar las direcciones originales. En un segundo procedimiento, el valor de hoplimit de vpn0 se cambia a 60.
# dladm modify-iptun -t -a local=10.8.48.149,remote=192.1.2.3 vpn0 # dladm set-linkprop -p hoplimit=60 vpn0
# dladm show-iptun [-p] -o fields [tunnel-link]
Con el comando, se pueden utilizar las siguientes opciones:
Muestra la información en un formato que la máquina puede analizar. Este argumento es opcional.
Muestra campos seleccionados que proporcionan información de un túnel específico.
Especifica el túnel cuya información de configuración desea visualizar. Este argumento es opcional. Si omite el nombre del túnel, el comando muestra la información sobre todos los túneles del sistema.
Ejemplo 6-7 Visualización de información sobre todos los túneles
En este ejemplo, únicamente existe un túnel en el sistema.
# dladm show-iptun LINK TYPE FLAGS LOCAL REMOTE tun0 6to4 -- 192.168.35.10 -- vpn0 ipv4 -- 10.8.48.149 192.1.2.3
Ejemplo 6-8 Visualización de campos seleccionados en un formato que la máquina puede analizar
En este ejemplo, únicamente se muestran campos específicos con información del túnel.
# dladm show-iptun -p -o link,type,local tun0:6to4:192.168.35.10 vpn0:ipv4:10.8.48.149
# dladm show-linkprop [-c] [-o fields] [tunnel-link]
Con el comando, se pueden utilizar las siguientes opciones:
Muestra la información en un formato que la máquina puede analizar. Este argumento es opcional.
Muestra campos seleccionados que proporcionan información sobre las propiedades del enlace.
Especifica el túnel cuya información de propiedades se desea visualizar. Este argumento es opcional. Si omite el nombre del túnel, el comando muestra la información sobre todos los túneles del sistema.
Ejemplo 6-9 Visualización de las propiedades de un túnel
En este ejemplo, se muestra cómo visualizar todas las propiedades del enlace de un túnel.
# dladm show-linkprop tun0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE tun0 autopush -- -- -- -- tun0 zone rw -- -- -- tun0 state r- up up up,down tun0 mtu r- 65515 -- 576-65495 tun0 maxbw rw -- -- -- tun0 cpus rw -- -- -- tun0 priority rw high high low,medium,high tun0 hoplimit rw 64 64 1-255
# ipadm delete-ip tunnel-link
Nota - Para suprimir correctamente un túnel, no puede conectarse en el túnel ninguna interfaz IP existente.
# dladm delete-iptun tunnel-link
La única opción para este comando es -t, que suprime el túnel temporalmente. Al reiniciar el sistema, se restaura el túnel.
Ejemplo 6-10 Supresión de un túnel IPv6 configurado con una interfaz IPv6
En este ejemplo, se suprime permanentemente un túnel persistente.
# ipadm delete-ip ip6.tun0 # dladm delete-iptun ip6.tun0