탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 네트워크 인터페이스 및 네트워크 가상화 Oracle Solaris 11 Information Library (한국어) |
7. 프로파일에 데이터 링크 및 인터페이스 구성 명령 사용
SPARC: 인터페이스의 MAC 주소가 고유한지 확인하는 방법
ipadm create-addr 명령을 사용하여 IP 주소를 할당할 수 없습니다.
IP 주소를 구성하는 동안 cannot create address object: Invalid argument provided 메시지가 표시됨
IP 인터페이스를 구성하는 동안 cannot create address: Persistent operation on temporary object 메시지가 표시됨
인터페이스와 별도로 ipadm 명령을 사용하여 조정 가능 항목이라고도 하는 프로토콜 등록 정보를 구성할 수 있습니다. ipadm은 이전 릴리스에서 조정 가능 항목을 설정하는 데 주로 사용되었던 ndd 명령을 대체합니다. 이 절에서는 선택한 TCP/IP 프로토콜 등록 정보를 사용자 정의하는 절차와 예를 제공합니다.
TCP/IP 등록 정보는 인터페이스 기반이거나 전역일 수 있습니다. 특정 인터페이스나 영역의 모든 인터페이스에 전역적으로 등록 정보를 적용할 수 있습니다. 전역 등록 정보는 각 비전역 영역에서 다른 설정을 사용할 수 있습니다. 지원되는 프로토콜 등록 정보 목록은 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
일반적으로 TCP/IP 인터넷 프로토콜의 기본 설정으로도 네트워크가 작동하는 데 충분합니다. 하지만 기본 설정이 네트워크 토폴로지에 충분하지 않은 경우 다음 표의 절차에서 이러한 TCP/IP 등록 정보를 사용자 정의하는 방법을 보여줍니다.
이 표에서는 프로토콜의 특정 등록 정보를 구성하는 작업을 설명하고 해당 절차에 대한 링크를 제공합니다.
표 9-2 선택한 TCP/IP 등록 정보 설정
|
TCP, UDP 및 SCTP와 같은 전송 프로토콜에서 포트 1–1023은 루트 권한으로 실행된 프로세스만 이러한 포트에 바인딩할 수 있도록 권한이 부여된 기본 포트입니다. ipadm 명령을 사용하면 권한이 부여된 포트가 되도록 이 지정된 기본 범위를 초과하여 포트를 예약할 수 있습니다. 따라서 루트 프로세스만 해당 포트에 바인딩할 수 있습니다. 이 절차에서는 다음 전송 프로토콜 등록 정보를 사용합니다.
smallest_nonpriv_port
extra_priv_ports
# ipadm show-prop -p smallest_nonpriv_port protocol
여기서 protocol은 권한이 부여된 포트를 구성하려는 프로토콜 유형(예: IP, UDP, ICMP 등)입니다.
명령 출력 결과의 POSSIBLE 필드에는 일반 사용자가 바인딩할 수 있는 포트 번호의 범위가 표시됩니다. 지정된 포트가 이 범위 내에 있으면 권한이 부여된 포트로 설정할 수 있습니다.
# ipadm show-prop -p extra_priv_ports protocol
명령 출력 결과의 CURRENT 필드는 현재 권한 부여됨으로 표시된 포트를 나타냅니다. 지정된 포트가 이 필드 아래에 없는 경우 권한이 부여된 포트로 설정할 수 있습니다.
# ipadm set-prop -p extra_priv_ports=port-number protocol
포트를 권한이 부여된 포트로 추가하려면 다음 구문을 입력합니다.
# ipadm set-prop -p extra_priv_ports+=portnumber protocol
주 - 더하기 기호(+) 수식자를 통해 권한이 부여된 포트가 되도록 포트를 여러 개 할당할 수 있습니다. 더하기 기호 수식자를 사용하여 이러한 포트 목록을 작성할 수 있습니다. 이 구문에 수식자를 사용하면 목록에 포트를 개별적으로 추가할 수 있습니다. 수식자를 사용하지 않으면 할당한 포트가 이전에 권한 부여됨으로 나열된 다른 모든 포트를 대체합니다.
권한이 부여된 포트인 지정된 포트를 제거하려면 다음 구문을 입력합니다.
# ipadm set-prop -p extra_priv_ports-=portnumber protocol
주 - 빼기 기호(-) 수식자를 사용하면 현재 권한 부여됨으로 나열된 기존 포트에서 포트를 제거할 수 있습니다. 동일한 구문을 사용하여 기본 포트를 포함한 기타 권한이 부여된 포트를 모두 제거할 수 있습니다.
# ipadm show-prop -p extra_priv_ports protocol
명령 출력 결과에서 지정된 포트가 CURRENT 필드에 포함되어 있는지 확인합니다.
예 9-6 권한이 부여된 포트 설정
이 예에서는 포트 3001 및 3050을 권한이 부여된 포트로 설정합니다. 또한 현재 권한이 부여된 포트로 나열된 포트 4045를 제거합니다.
smallest_nonpriv_port 등록 정보의 출력 결과에서 POSSIBLE 필드는 포트 1024가 권한이 부여되지 않은 최하위 포트이며 지정된 포트 3001과 3050이 사용 가능한 권한이 부여되지 않은 포트 범위 내에 있음을 나타냅니다. extra_priv_ports 등록 정보의 출력 결과에서 CURRENT 필드 아래의 포트 2049 및 4045는 권한 부여됨으로 표시됩니다. 따라서 포트 3001을 권한이 부여된 포트로 계속 설정할 수 있습니다.
# ipadm show-prop -p smallest_nonpriv_port tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp smallest_nonpriv_port rw 1024 -- 1024 1024-32768 # ipadm show-prop -p extra_priv_ports tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp extra_priv_ports rw 2049,4045 -- 2049,4045 1-65535 # ipadm set-prop -p extra_priv_ports+=3001 tcp # ipadm set-prop -p extra_priv_ports+=3050 tcp # ipadm show-prop -p extra_priv_ports tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp extra_priv_ports rw 2049,4045 3001,3050 2049,4045 1-65535 3001,3050 # ipadm set-prop -p extra_priv_ports-=4045 tcp # ipadm show-prop -p extra_priv_ports tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp extra_priv_ports rw 2049,3001 3001,3050 2049,4045 1-65535 3050
기본적으로 여러 인터페이스가 있는 시스템은 멀티홈 호스트라고도 하며, 경로 지정 테이블에서 트래픽 대상까지 가장 긴 일치 경로를 기준으로 네트워크 트래픽의 경로를 지정합니다. 대상까지의 길이가 같은 경로가 여러 개 있을 경우 Oracle Solaris는 ECMP(Equal Cost Multipathing) 알고리즘을 적용하여 트래픽을 해당 경로에 분산시킵니다.
이런 방식의 트래픽 분산이 적합하지 않은 경우도 있습니다. 패킷의 IP 소스 주소와 동일한 서브넷에 없는 멀티홈 호스트의 인터페이스를 통해 IP 패킷이 전송될 수 있습니다. 또한 송신 패킷이 특정 수신 요청(예: ICMP 에코 요청)에 대한 응답인 경우 요청과 응답이 동일한 인터페이스를 순회할 수 없습니다. 이러한 트래픽 경로 지정 구성을 비대칭 경로 지정이라고 합니다. 인터넷 서비스 공급자가 RFC 3704(http://rfc-editor.org/rfc/bcp/bcp84.txt)에 설명된 대로 진입 필터링을 구현하는 경우 비대칭 경로 지정 구성으로 인해 공급자가 송신 패킷을 삭제할 수도 있습니다.
RFC 3704는 인터넷에서 서비스 거부 공격을 제한하기 위한 것입니다. 이 의도를 준수하려면 네트워크에서 대칭 경로 지정을 구성해야 합니다. Oracle Solaris에서 IP hostmodel 등록 정보를 사용하면 이 요구 사항을 충족할 수 있습니다. 이 등록 정보는 멀티홈 호스트를 통해 수신 또는 전송된 IP 패킷의 동작을 제어합니다.
다음 절차에서는 ipadm 명령을 사용하여 특정 경로 지정 구성의 hostmodel 등록 정보를 설정하는 방법을 보여줍니다.
# ipadm set-prop -p hostmodel=value protocol
이 등록 정보를 다음 세 가지 설정 중 하나로 구성할 수 있습니다.
RFC 1122에 정의된 강력한 ES(엔드 시스템) 모델에 해당합니다. 이 설정은 대칭 경로 지정을 구현합니다.
RFC 1122에 정의된 약한 ES 모델에 해당합니다. 이 설정에서는 멀티홈 호스트가 비대칭 경로 지정을 사용합니다.
기본 경로를 사용하여 패킷 경로 지정을 구성합니다. 경로 지정 테이블에 대상 경로가 여러 개 있는 경우 기본 경로는 송신 패킷의 IP 소스 주소가 구성된 인터페이스를 사용하는 경로입니다. 해당 경로가 없는 경우 송신 패킷은 패킷의 IP 대상에 대한 가장 긴 일치 경로를 사용합니다.
# ipadm show-prop protocol
예 9-7 멀티홈 호스트에 대칭 경로 지정 설정
이 예에서는 멀티홈 호스트에서 모든 IP 트래픽의 대칭 경로 지정을 적용하려고 합니다.
# ipadm set-prop -p hostmodel=strong ip # ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong -- weak strong, src-priority, weak ipv4 hostmodel rw strong -- weak strong, src-priority, weak