JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 管理: ネットワークインタフェースとネットワーク仮想化     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

1.  ネットワークスタックの概要

この Oracle Solaris リリースでのネットワーク構成

Oracle Solaris のネットワークスタック

ネットワークデバイスとデータリンク名

その他のリンクタイプの管理

パート I Network Auto-Magic

2.  NWAM の紹介

3.  NWAM 構成と管理 (概要)

4.  NWAM プロファイルの構成 (タスク)

5.  NWAM プロファイルの管理 (タスク)

6.  NWAM グラフィカルユーザーインタフェースについて

パート II データリンクとインタフェース構成

7.  プロファイルでのデータリンクおよびインタフェース構成コマンドの使用

8.  データリンクの構成と管理

9.  IP インタフェースの構成

10.  Oracle Solaris 上での無線インタフェース通信の構成

11.  ブリッジを管理する

12.  リンク集約の管理

13.  VLAN の管理

14.  IPMP の紹介

15.  IPMP の管理

16.  LLDP によるネットワーク接続情報の交換

パート III ネットワーク仮想化およびリソース管理

17.  ネットワーク仮想化およびリソース制御の紹介 (概要)

18.  ネットワーク仮想化およびリソース制御の計画

19.  仮想ネットワークの構成 (タスク)

20.  仮想化環境でのリンク保護の使用

リンク保護の概要

リンク保護タイプ

リンク保護の構成 (タスクマップ)

リンク保護メカニズムを有効にする方法

リンク保護を無効にする方法

IP のなりすましからの保護のための IP アドレスを指定する方法

リンク保護構成を表示する方法

21.  ネットワークリソースの管理

22.  ネットワークトラフィックとリソース使用状況の監視

用語集

索引

リンク保護の概要

システム構成で仮想化がますます多く採用されるにつれて、ゲスト仮想マシン (VM) に、ホスト管理者が物理または仮想リンクへの排他的アクセスを許可する場合があります。この構成により、仮想環境のネットワークトラフィックを、ホストシステムによって送受信されるより広範囲のトラフィックから切り離すことが可能になるため、ネットワークパフォーマンスが向上します。同時に、この構成によって、ゲスト環境によって生成される可能性のある有害なパケットのリスクにシステムやネットワーク全体がさらされるおそれがあります。

リンク保護は、潜在的に悪意のあるゲスト VM のためにネットワークで発生する可能性のある損害を回避することを目的にしています。この機能は、次の基本的な脅威からの保護を実現します。

注 - 特に、フィルタリングの要件が複雑な構成の場合、リンク保護でファイアウォールの配備を置き換えるべきではありません。

リンク保護タイプ

リンク保護メカニズムは、デフォルトでは無効になっています。リンク保護を有効にするには、protection リンクプロパティーの値として次の保護タイプの 1 つまたは複数を指定します。

mac-nospoof

MAC のなりすましからの保護を有効にします。送信パケットの発信元 MAC アドレスが、そのデータリンクの構成された MAC アドレスに一致している必要があります。それ以外の場合、パケットは破棄されます。そのリンクがゾーンに属している場合は、mac-nospoof を有効にすると、ゾーンの所有者がそのリンクの MAC アドレスを変更できなくなります。

ip-nospoof

IP のなりすましからの保護を有効にします。IP、ARP、または NDP の送信パケットにはすべて、DHCP で構成された IP アドレスか、または allowed-ips リンクプロパティーに示されているいずれかのアドレスのどちらかに一致するアドレスフィールドが含まれている必要があります。それ以外の場合、パケットは破棄されます。

allowed-ips リンクプロパティーは、ip-nospoof 保護タイプと連携します。デフォルトでは、このプロパティーによって指定される一覧は空です。このプロパティーが空か、または構成されていない場合は、次の IP アドレスが暗黙にこのプロパティーに含まれます。これらの IP アドレスは送信パケットの IP アドレスと照合され、そのパケットが通過を許可されるか、または破棄されるかが判定されます。

  • 動的に学習された DHCP で構成された IPv4 または IPv6 アドレス

  • RFC 2464 に準拠し、リンクの MAC アドレスから派生するリンクローカル IPv6 アドレス

次の一覧は、プロトコルと、allowed-ips プロパティー内のアドレスに一致する必要のある対応する送信パケットの関連付けられたアドレスフィールドを示しています。このプロパティーが空の場合、パケットのアドレスは、DHCP で構成された IP アドレスに一致する必要があります。

  • IP (IPv4 または IPv6) - パケットの発信元アドレス

  • ARP - パケットの送信側プロトコルアドレス

restricted

送信パケットを、IPv4、IPv6、および ARP プロトコルタイプのパケットのみに制限します。ここに示されているタイプではないその他のパケットは破棄されます。この保護タイプを使用すると、リンクが、有害なおそれのある L2 制御フレームを生成できなくなります。

注 - リンク保護のために破棄されたパケットは、mac_spoofedip_spoofed 、および restricted のカーネル統計によって追跡されます。これらの統計情報は、3 つの保護タイプに対応しています。これらのリンクごとの統計情報を取得するには、kstat コマンドを使用します。これらの統計情報の取得についての詳細は、kstat(1M) のマニュアルページを参照してください。

Copyright © 2011, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ