Establecimiento de propiedades de protocolo TCP/IP

Utilice el comando ipadm para configurar las propiedades de protocolo, también conocidas como valores ajustabes. El comando ipadm reemplaza el comando ndd, que en las versiones anteriores generalmente se utilizaba para establecer valores ajustables.

Las propiedades TCP/IP pueden ser basadas en interfaz o globales. Las propiedades se pueden aplicar a una interfaz específica o globalmente a todas las interfaces de una zona. Las propiedades globales pueden tener diferentes valores en diferentes zonas no globales. Para obtener una lista con las propiedades de protocolo admitidas, consulte la página del comando man ipadm(1M).

Normalmente, los valores predeterminados del protocolo de Internet TCP/IP son suficientes para que la red funcione. Sin embargo, si los valores predeterminados son insuficientes para su topología de red, puede personalizar estas propiedades según sea necesario.

Para establecer propiedades de interfaz TCP/IP se utilizan tres subcomandos ipadm:

El comando ipadm show-prop -p property protocol muestra las propiedades de un protocolo y sus valores actuales. Si no utiliza la opción -p property, se muestran todas las propiedades del protocolo. Si no especifica un protocolo, se muestran todas las propiedades de todos los protocolos.
El subcomando ipadm set-prop -p property =value protocol asigna un valor a la propiedad de la interfaz IP.
El subcomando ipadm reset-prop -p property protocol restablece los valores predeterminados de la propiedad de protocolo específica.

Nota - Si una propiedad puede admitir varios valores, debe asignar varios valores a la propiedad con el cualificador += de la siguiente manera:

ipadm set-prop -p property+=value1 [value2 value3 ...].

Para eliminar un valor de un conjunto de valores de una propiedad, utilice el cualificador -= de la siguiente forma:

ipadm set-prop -p property-=value2

Activación del reenvío de paquetes de forma global

En Activación de reenvío de paquetes se muestra cómo activar el reenvío de paquetes en la interfaz. El establecimiento del reenvío de paquetes en la propiedad de interfaz IP le permite implementar esta función de manera selectiva. Puede activar esta propiedad sólo en interfaces específicas del sistema.

Si desea activar el reenvío de paquetes en todo el sistema independientemente del número de interfaces IP, debe utilizar la propiedad de protocolo: En los protocolos el nombre de propiedad es el mismo que en las interfaces IP: forwarding. Debe ejecutar el comando por separado para activar el reenvío de paquetes en los protocolos IPv4 e IPv6.

En el siguiente ejemplo se muestra cómo activar el reenvío de paquetes para todo el tráfico IPv4 e IPv6 del sistema:

# ipadm show-prop -p forwarding ip
PROTO   PROPERTY     PERM   CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4    forwarding   rw     off       --           off       on,off
ipv6    forwarding   rw     off       --           off       on,off
#
# ipadm set-prop -p forwarding=on ipv4
# ipadm set-prop -p forwarding=on ipv6
#
# ipadm show-prop ip
PROTO   PROPERTY     PERM   CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4    forwarding   rw     on        on           off       on,off
ipv4    ttl          rw     255       --           255       1-255
ipv6    forwarding   rw     on        on           off       on,off
ipv6    hoplimit     rw     255       --           255       1-255#

Nota - La propiedad forwarding de protocolos o interfaces IP no es exclusiva. Puede establecer la propiedad para la interfaz y el protocolo al mismo tiempo. Por ejemplo, puede activar el reenvío de paquetes de forma global en el protocolo y, a continuación, personalizar el reenvío de paquetes de cada interfaz IP del sistema. De esta manera, aunque esté activado globalmente, el reenvío de paquetes puede ser selectivo para el sistema.

Configuración de un puerto con privilegios

En los protocolos de transporte como TCP, UDP y SCTP, los puertos 1–1023 son puertos con privilegios predeterminados a los que sólo se pueden vincular los procesos que se ejecutan con permisos de usuario root. Mediante el uso del comando ipadm, puede reservar un puerto fuera de este rango predeterminado de modo que se convierta en un puerto con privilegios. Por lo tanto, sólo los procesos root pueden vincularse a ese puerto. Para configurar un puerto con privilegios, debe personalizar las siguientes propiedades de protocolo de transporte:

smallest_nonpriv_port: la propiedad cuyo valor indica el rango de números de puerto a los que los usuarios comunes se pueden vincular. Si el puerto designado está dentro de este rango, entonces puede configurarse como un puerto con privilegios. Utilice el comando ipadm show-prop para mostrar los valores de la propiedad.
extra_priv_ports: la propiedad que especifica qué puertos tienen privilegios. Utilice el subcomando ipadm set-prop para especificar los puertos que desee restringir. A esta propiedad se le pueden asignar varios valores.

Por ejemplo, suponga que desea establecer los puertos TCP 3001 y 3050 como puertos con privilegios con acceso restringido sólo al usuario root. La propiedad smallest_nonpriv_port indica que 1024 es el número de puerto más bajo para un puerto sin privilegios. Por lo tanto, los puertos designados 3001 y 3050 se pueden cambiar para convertise en puertos con privilegios. A continuación, deberá ejecutar comandos similares a los siguientes:

# ipadm show-prop -p smallest_nonpriv_port tcp
PROTO PROPERTY                PERM   CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   smallest_nonpriv_port   rw     1024      --           1024      1024-32768

# ipadm show-prop -p extra_priv_ports tcp
PROTO   PROPERTY           PERM   CURRENT     PERSISTENT   DEFAULT     POSSIBLE
tcp     extra_priv_ports   rw     2049,4045   --           2049,4045   1-65535

# ipadm set-prop -p extra_priv_ports+=3001 tcp        
# ipadm set-prop -p extra_priv_ports+=3050 tcp
# ipadm show-prop -p extra_priv_ports tcp
PROTO   PROPERTY           PERM   CURRENT     PERSISTENT   DEFAULT     POSSIBLE
tcp     extra_priv_ports   rw     2049,4045   3001,3050    2049,4045   1-65535
                                  3001,3050

Para que uno de los puertos, por ejemplo, 4045, deje de ser un puerto con privilegios, debe escribir los siguientes comandos:

# ipadm set-prop -p extra_priv_ports-=4045 tcp
# ipadm show-prop -p extra_priv_ports tcp
PROTO   PROPERTY           PERM   CURRENT     PERSISTENT   DEFAULT     POSSIBLE
tcp     extra_priv_ports   rw     2049,3001   3001,3050    2049,4045   1-65535
                                  3050

Implementación de enrutamiento simétrico en hosts múltiples

De manera predeterminada, un sistema con varias interfaces (denominado host múltiple) enruta su tráfico de red en función de la ruta coincidente de mayor distancia hasta el destino del tráfico en la tabla de enrutamiento. Cuando existen varias rutas de igual distancia hasta el destino, Oracle Solaris aplica los algoritmos ECMP (Equal-Cost Multi-Path) para repartir el tráfico por esas rutas.

En algunos casos, no resulta ideal repartir el tráfico de este modo. Es posible que un paquete IP se envíe por medio de una interfaz de un host múltiple que no está en la misma subred que la dirección IP de origen del paquete. Además, si el paquete saliente es una respuesta a una solicitud entrante determinada, como una solicitud de eco ICMP, la solicitud y la respuesta podrían no atravesar la misma interfaz. Esta configuración de enrutamiento de tráfico se denomina enrutamiento asimétrico. Si su proveedor de servicios de Internet está efectuando un filtrado de entrada como se describe en RFC 3704 (http://rfc-editor.org/rfc/bcp/bcp84.txt), la configuración de enrutamiento asimétrico puede hacer que el proveedor pierda un paquete saliente.

RFC 3704 tiene el propósito de limitar ataques de denegación de servicio en Internet. Para cumplir con este propósito, su red debe configurarse para el enrutamiento simétrico. En Oracle Solaris, la propiedad IP hostmodel le permite cumplir este requisito. Esta propiedad controla el comportamiento de los paquetes IP que se reciben o se transmiten por medio de un host múltiple.

La propiedad hostmodel puede tener uno de los tres valores siguientes:

strong: Corresponde al modelo de sistema final (ES, End System) fuerte, como se define en RFC 1122. Este valor implementa el enrutamiento simétrico.
weak: Corresponde al modelo de ES débil, como se define en RFC 1122. Con este valor, un host múltiple utiliza el enrutamiento asimétrico.
src-priority: Configura el enrutamiento de paquetes usando rutas preferidas. Si existen varias rutas de destino en la tabla de enrutamiento, las rutas preferidas son las que usan interfaces en las que está configurada la dirección IP de origen de un paquete saliente. Si no hay ninguna ruta de esa clase, el paquete saliente utiliza la ruta coincidente de mayor distancia hasta el destino IP del paquete.

En el ejemplo siguiente se muestra cómo implementar el enrutamiento simétrico de paquetes IP en un host múltiple.

# ipadm set-prop -p hostmodel=strong ip
# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY   PERM  CURRENT  PERSISTENT  DEFAULT   POSSIBLE
ipv6   hostmodel  rw    strong   --          weak      strong,
                                                       src-priority,
                                                       weak
ipv4   hostmodel  rw    strong   --          weak      strong,
                                                       src-priority,
                                                       weak

Implementación del control de congestión de tráfico

La congestión de la red generalmente se produce cuando hay desbordamientos de la memoria intermedia del enrutador, cuando los nodos envían más paquetes de los que la red puede recibir. Existen diversos algoritmos que evitan la congestión del tráfico mediante el establecimiento de controles en los sistemas de envío. Estos algoritmos se pueden usar en Oracle Solaris y se pueden agregar de forma sencilla o conectar directamente al sistema operativo.

En la siguiente tabla se muestran y describen los algoritmos admitidos.

Algoritmo	Nombre de Oracle Solaris	Descripción
NewReno	`newreno`	Algoritmo predeterminado en Oracle Solaris. El mecanismo de control incluye la elusión de la congestión, el retardo en el inicio y el intervalo de congestión del remitente.
HighSpeed	`highspeed`	Una de las modificaciones más sencillas y más conocidas de NewReno para redes de alta velocidad.
CUBIC	`cubic`	Actualmente, el algoritmo predeterminado en Linux 2.6. Cambia la fase de elusión de congestión del aumento de intervalo lineal a una función cúbica.
Vegas	`vegas`	Un algoritmo basado en retraso clásico que intenta predecir la congestión sin desencadenar la pérdida real de paquetes.

El control de congestión se activa mediante el establecimiento de las siguientes propiedades TCP relacionadas con el control. Aunque estas propiedades se muestran para TCP, el mecanismo de control que se activa mediante estas propiedades también se aplica al tráfico SCTP.

cong_enabled: contiene una lista de algoritmos, separados por comas, que funcionan actualmente en el sistema. Puede agregar o eliminar algoritmos para activar sólo los algoritmos que desea utilizar. Esta propiedad puede tener varios valores. Por lo tanto, debe usar el cualificador += o -=, según el cambio que desee realizar.
cong_default: el algoritmo utilizado de manera predeterminada cuando las aplicaciones no especifican los algoritmos explícitamente en las opciones de socket. Actualmente, el valor de la propiedad cong_default se aplica a zonas globales y no globales.

Para agregar un algoritmo para el control de congestión al protocolo, ejecute el siguiente comando:

# ipadm set-prop -p cong_enabled+=algorithm tcp

Para eliminar un algoritmo, ejecute el siguiente comando:

# ipadm set-prop -p cong_enabled-=algorithm tcp

Para reemplazar el algoritmo predeterminado, ejecute el siguiente comando:

# ipadm set-prop -p cong_default=algorithm tcp

Nota - No se siguen reglas de secuencia para agregar o eliminar algoritmos. Puede eliminar un algoritmo antes de agregar otros algoritmos para una propiedad. Sin embargo, la propiedad cong_default siempre debe tener un algoritmo definido.

En el siguiente ejemplo se muestran los pasos que se pueden seguir para implementar el control de congestión. En el ejemplo, el algoritmo predeterminado para el protocolo TCP se cambia de newreno a cubic. A continuación, el algoritmo vegas se elimina de la lista de algoritmos activados.

# ipadm show-prop -p cong_default,cong_enabled tcp
PROTO  PROPERTY      PERM  CURRENT          PERSISTENT   DEFAULT   POSSIBLE
tcp    cong_default  rw    newreno          --           newreno   -
tcp    cong_enabled  rw    newreno,cubic,   --           newreno   newreno,cubic,
                           highspeed,                              highspeed,vegas
                           vegas

# ipadm set-prop -p cong_enabled-=vegas tcp
# ipadm set-prop -p cong_default=cubic tcp

# ipadm show-prop -p cong_default,confg_enabled tcp
PROTO  PROPERTY      PERM  CURRENT          PERSISTENT   DEFAULT   POSSIBLE
tcp    cong_default  rw    cubic            --           newreno   -
tcp    cong_enabled  rw    newreno,cubic,   --           newreno   newreno,cubic,
                           highspeed                               highspeed,vegas

Cambio del tamaño de la memoria intermedia de recepción de TCP

El tamaño de la memoria intermedia de recepción TCP se establece mediante la propiedad TCP recv_buf, que de manera predeterminada es de 128 KB. Sin embargo, las aplicaciones que no utilizan los anchos de banda de manera uniforme. Por lo tanto, es posible que la latencia de conexión requiera el cambio del tamaño predeterminado. Por ejemplo, si se utiliza la función Secure Shell de Oracle Solaris se genera una sobrecarga en el uso del ancho de banda debido a los procesos de cifrado y suma de comprobación adicionales que se realizan en la secuencia de datos. Por lo tanto, es posible que sea necesario aumentar el tamaño de la memoria intermedia. Del mismo modo, para que las aplicaciones que realizan retenciones de transferencia masiva usen el ancho de banda eficientemente, también es necesario el mismo ajuste de tamaño de memoria intermedia.

Puede calcular el tamaño de memoria intermedia de recepción correcto que se debe utilizar mediante el cálculo del producto de retraso de ancho de banda (BDP) de la siguiente manera:

BDP = available_bandwidth * connection-latency

Utilice ping -s host para obtener el valor de latencia de conexión. Utilice las herramientas uperf y iperf para calcular el uso del ancho de banda.

El tamaño de memoria intermedia de recepción adecuado se aproxima al valor del producto de retraso de ancho de banda. Sin embargo, tenga en cuenta que el uso del ancho de banda también depende de una serie de condiciones. Una infraestructura compartida o el número de aplicaciones y usuarios que compiten por el uso del ancho de banda pueden cambiar ese cálculo.

Para cambiar el valor del tamaño de la memoria intermedia, utilice la siguiente sintaxis:

# ipdadm set-prop -p recv_buf=value tcp

En el siguiente ejemplo se muestra cómo aumentar el tamaño de la memoria intermedia a 164 KB.

# ipadm show-prop -p recv_buf tcp
PROTO PROPERTY   PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
tcp   recv_buf   rw   128000       --        128000   2048-1048576

# ipadm set-prop -p recv_buf=164000 tcp

# ipadm show-prop -p recv_buf tcp
PROTO PROPERTY   PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
tcp   recv_buf   rw   164000       --        164000   2048-1048576

No se prefiere ningún valor establecido para el tamañao de la memoria intermedia, porque el tamaño preferido varía según las circunstancias. Tenga en cuenta los siguientes casos que muestran distintos valores para el BDP para cada red con sus propias condiciones específicas:

LAN típica de 1 Gbps, donde 128 KB es el valor predeterminado del tamaño de la memoria intermedia:

BDP = 128 MBps * 0.001 s = 128 kB

WAN teórica de 1 Gbps con latencia de 100 ms:

BDP = 128 MBps * 0.1 s = 12.8 MB

Enlace de Europa a Estados Unidos (ancho de banda medido por uperf):

BDP = 2.6 MBps * 0.175 = 470 kB

Si no puede calcular el BDP, utilice las siguientes observaciones como directrices:

Para transferencias masivas mediante una LAN, el valor predeterminado del tamaño de la mamoria intermedia, 128 KB, es suficiente.
Para la mayoría de las implementaciones de WAN, el tamaño de la memoria intermedia de recepción debe estar dentro del rango de 2 MB.

Precaución - Aumentar el tamaño de la memoria intermedia de recepción de TCP aumenta el espacio de memoria de muchas aplicaciones de red.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Conexión de sistemas mediante la configuración de redes fijas en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español)