ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 管理: ネットワークインタフェースとネットワーク仮想化 Oracle Solaris 11 Information Library (日本語) |
この Oracle Solaris リリースでのネットワーク構成
7. プロファイルでのデータリンクおよびインタフェース構成コマンドの使用
10. Oracle Solaris 上での無線インタフェース通信の構成
17. ネットワーク仮想化およびリソース制御の紹介 (概要)
システム構成で仮想化がますます多く採用されるにつれて、ゲスト仮想マシン (VM) に、ホスト管理者が物理または仮想リンクへの排他的アクセスを許可する場合があります。この構成により、仮想環境のネットワークトラフィックを、ホストシステムによって送受信されるより広範囲のトラフィックから切り離すことが可能になるため、ネットワークパフォーマンスが向上します。同時に、この構成によって、ゲスト環境によって生成される可能性のある有害なパケットのリスクにシステムやネットワーク全体がさらされるおそれがあります。
リンク保護は、潜在的に悪意のあるゲスト VM のためにネットワークで発生する可能性のある損害を回避することを目的にしています。この機能は、次の基本的な脅威からの保護を実現します。
IP と MAC のなりすまし
BPDU (ブリッジプロトコルデータユニット) 攻撃などの、L2 フレームのなりすまし
注 - 特に、フィルタリングの要件が複雑な構成の場合、リンク保護でファイアウォールの配備を置き換えるべきではありません。
リンク保護メカニズムは、デフォルトでは無効になっています。リンク保護を有効にするには、protection リンクプロパティーの値として次の保護タイプの 1 つまたは複数を指定します。
MAC のなりすましからの保護を有効にします。送信パケットの発信元 MAC アドレスが、そのデータリンクの構成された MAC アドレスに一致している必要があります。それ以外の場合、パケットは破棄されます。そのリンクがゾーンに属している場合は、mac-nospoof を有効にすると、ゾーンの所有者がそのリンクの MAC アドレスを変更できなくなります。
IP のなりすましからの保護を有効にします。IP、ARP、または NDP の送信パケットにはすべて、DHCP で構成された IP アドレスか、または allowed-ips リンクプロパティーに示されているいずれかのアドレスのどちらかに一致するアドレスフィールドが含まれている必要があります。それ以外の場合、パケットは破棄されます。
allowed-ips リンクプロパティーは、ip-nospoof 保護タイプと連携します。デフォルトでは、このプロパティーによって指定される一覧は空です。このプロパティーが空か、または構成されていない場合は、次の IP アドレスが暗黙にこのプロパティーに含まれます。これらの IP アドレスは送信パケットの IP アドレスと照合され、そのパケットが通過を許可されるか、または破棄されるかが判定されます。
動的に学習された DHCP で構成された IPv4 または IPv6 アドレス
RFC 2464 に準拠し、リンクの MAC アドレスから派生するリンクローカル IPv6 アドレス
次の一覧は、プロトコルと、allowed-ips プロパティー内のアドレスに一致する必要のある対応する送信パケットの関連付けられたアドレスフィールドを示しています。このプロパティーが空の場合、パケットのアドレスは、DHCP で構成された IP アドレスに一致する必要があります。
IP (IPv4 または IPv6) - パケットの発信元アドレス
ARP - パケットの送信側プロトコルアドレス
送信パケットを、IPv4、IPv6、および ARP プロトコルタイプのパケットのみに制限します。ここに示されているタイプではないその他のパケットは破棄されます。この保護タイプを使用すると、リンクが、有害なおそれのある L2 制御フレームを生成できなくなります。
注 - リンク保護のために破棄されたパケットは、mac_spoofed、ip_spoofed 、および restricted のカーネル統計によって追跡されます。これらの統計情報は、3 つの保護タイプに対応しています。これらのリンクごとの統計情報を取得するには、kstat コマンドを使用します。これらの統計情報の取得についての詳細は、kstat(1M) のマニュアルページを参照してください。