탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 네트워크 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
이 절에서는 dladm 명령을 사용하여 터널을 구성하는 절차에 대해 설명합니다.
이 Oracle Solaris 릴리스부터 터널 관리가 IP 인터페이스 구성과 분리되었습니다. IP 터널의 데이터 링크 측면은 dladm 명령으로 관리됩니다. 또한 IP 터널 인터페이스를 비롯한 IP 인터페이스 구성은 ipadm 명령으로 수행됩니다.
IP 터널을 구성하는 데 사용되는 dladm의 하위 명령은 다음과 같습니다.
create-iptun
modify-iptun
show-iptun
delete-iptun
set-linkprop
dladm 명령에 대한 자세한 내용은 dladm(1M) 매뉴얼 페이지를 참조하십시오.
주 - IP 터널 관리는 IPsec 구성과 밀접한 관련이 있습니다. 예를 들어 IPsec VPN(Virtual Private Network)은 IP 터널링의 주요 용도 중 하나입니다. Oracle Solaris의 보안에 대한 자세한 내용은 Oracle Solaris 11.1의 네트워크 보안의 6 장, IP 보안 아키텍처(개요)를 참조하십시오. IPsec을 구성하려면 Oracle Solaris 11.1의 네트워크 보안의 7 장, IPsec 구성(작업)을 참조하십시오.
|
# dladm create-iptun [-t] -T type -a [local|remote]=addr,... tunnel-link
이 명령에 사용할 수 있는 옵션 및 인수는 다음과 같습니다.
임시 터널을 만듭니다. 기본적으로 이 명령은 영구 터널을 만듭니다.
주 - 터널을 경유하는 영구 IP 인터페이스를 구성하려는 경우 -t 옵션을 사용하지 말고 영구 터널을 만들어야 합니다.
만들려는 터널의 유형을 지정합니다. 이 인수는 모든 터널 유형을 만드는 데 필수입니다.
로컬 주소 및 원격 터널 주소에 해당하는 리터럴 IP 주소 또는 호스트 이름을 지정합니다. 주소는 유효해야 하며 이미 시스템에 생성되어 있어야 합니다. 터널의 유형에 따라 주소를 한 개만 지정하거나, 로컬 및 원격 주소를 모두 지정합니다. 로컬 및 원격 주소를 모두 지정하는 경우 주소를 쉼표로 구분해야 합니다.
IPv4 터널이 작동하려면 로컬 및 원격 IPv4 주소가 필요합니다.
IPv6 터널이 작동하려면 로컬 및 원격 IPv6 주소가 필요합니다.
6to4 터널이 작동하려면 로컬 IPv4 주소가 필요합니다.
주 - 영구 IP 터널 데이터 링크 구성에 호스트 이름을 주소로 사용하는 경우 호스트 이름은 구성 저장소에 저장됩니다. 이후에 시스템을 부트할 때 이름이 터널을 만든 당시에 사용했던 IP 주소와 다른 IP 주소로 분석되는 경우 터널이 새 구성을 사용하게 됩니다.
IP 터널 링크를 지정합니다. 네트워크 링크 관리에서 의미 있는 이름이 지원되는 경우, 터널 이름이 더 이상 만들려는 터널의 유형으로 제한되지 않습니다. 대신 관리상 선택한 이름을 터널에 지정할 수 있습니다. 터널 이름은 문자열과 PPA(Physical Point of Attachment) 번호로 구성됩니다(예: mytunnel0). 의미 있는 이름의 지정과 관련된 규칙을 보려면 Oracle Solaris 11 네트워킹 소개의 유효한 링크 이름 규칙을 참조하십시오.
터널 링크를 지정하지 않으면 다음과 같은 이름 지정 규칙에 따라 자동으로 이름이 제공됩니다.
IPv4 터널: ip.tun#
IPv6 터널: ip6.tun#
6to4 터널: ip.6to4tun#
#은 만드는 터널 유형에 사용 가능한 가장 낮은 PPA 번호입니다.
# dladm set-linkprop -p [hoplimit=value] [encaplimit=value] tunnel-link
IPv6 경유 터널링에 대한 터널 인터페이스의 홉 한계를 지정합니다. hoplimit는 IPv4 경유 터널의 IPv4 TTL(time to live) 필드에 해당합니다.
패킷에 허용되는 중첩 터널링의 레벨 수를 지정합니다. 이 옵션은 IPv6 터널에만 적용됩니다.
주 - hoplimit 및 encaplimit에 대해 설정한 값은 허용되는 범위 내에 있어야 합니다. hoplimit 및 encaplimit는 터널 링크 등록 정보입니다. 따라서 이러한 등록 정보는 다른 링크 등록 정보의 경우와 동일한 dladm 하위 명령으로 관리됩니다. 해당 하위 명령은 dladm set-linkprop, dladm reset-linkprop 및 dladm show-linkprop입니다. 링크 관리를 위해 dladm 명령과 함께 사용되는 여러 하위 명령은 dladm(1M) 매뉴얼 페이지를 참조하십시오.
# ipadm create-ip tunnel-interface
여기서 tunnel-interface는 터널 링크와 동일한 이름을 사용합니다.
# ipadm create-addr [-t] -a local=address,remote=address interface
터널을 경유하는 영구 IP 구성이 아닌 임시 IP 구성을 나타냅니다. 이 옵션을 사용하지 않으면 IP 인터페이스 구성은 영구 구성이 됩니다.
터널 인터페이스의 IP 주소를 지정합니다. 소스 및 대상 IP 주소가 모두 필수이며, local 및 remote로 표시됩니다. 로컬 및 원격 주소는 IPv4 또는 IPv6 주소일 수 있습니다.
터널 인터페이스를 지정합니다.
ipadm 명령에 대한 자세한 내용 및 터널 인터페이스를 포함하여 IP 인터페이스를 구성하기 위한 서로 다른 옵션들에 대한 자세한 내용은 ipadm(1M) 매뉴얼 페이지 및 Oracle Solaris 11.1에서 고정된 네트워크 구성을 사용하여 시스템 연결을 참조하십시오.
# ipadm show-addr interface
예 6-1 IPv4 터널을 경유하는 IPv6 인터페이스 만들기
이 예제에서는 지속적인 IPv6 over IPv4 터널을 만드는 방법을 보여줍니다.
# dladm create-iptun -T ipv4 -a local=63.1.2.3,remote=192.4.5.6 private0 # dladm set-linkprop -p hoplimit=200 private0 # ipadm create-ip private0 # ipadm create-addr -T addrconf private0 # ipadm show-addr private/ ADDROBJ TYPE STATE ADDR private0/v6 static ok fe80::a08:392e/10 --> fe80::8191:9a56
대체 주소를 추가하려면 동일한 구문을 사용합니다. 예를 들어 다음과 같이 전역 주소를 추가할 수 있습니다.
# ipadm create-addr -a local=2001:db8:4728::1, \ remote=2001:db8:4728::2 private0 # ipadm show-addr private0/ ADDROBJ TYPE STATE ADDR private0/v6 addrconf ok fe80::a08:392e/10 --> fe80::8191:9a56 private0/v6a static ok 2001:db8:4728::1 --> 2001:db8:4728::2
IPv6 주소의 2001:db8 접두어는 설명서 예제에 특별히 사용되는 특수 IPv6 접두어입니다.
예 6-2 IPv4 터널을 경유하는 IPv4 인터페이스 만들기
이 예제에서는 지속적인 IPv4 over IPv4 터널을 만드는 방법을 보여줍니다.
# dladm create-iptun -T ipv4 -a local=63.1.2.3,remote=192.4.5.6 vpn0 # ipadm create-ip vpn0 # ipadm create-addr -a local=10.0.0.1,remote=10.0.0.2 vpn0 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1 vpn0/v4 static ok 10.0.0.1-->10.0.0.2
이 터널을 경유하는 패킷에 보안 연결을 제공하도록 IPsec 정책을 추가로 구성할 수 있습니다. IPsec 구성에 대한 자세한 내용은 Oracle Solaris 11.1의 네트워크 보안의 7 장, IPsec 구성(작업)을 참조하십시오.
예 6-3 IPv6 터널을 경유하는 IPv6 인터페이스 만들기
이 예제에서는 지속적인 IPv6 over IPv6 터널을 만드는 방법을 보여줍니다.
# dladm create-iptun -T ipv6 -a local=2001:db8:feed::1234,remote=2001:db8:beef::4321 \ tun0 # ipadm create-ip tun0 # ipadm create-addr -T addrconf tun0 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v6 static ok ::1/128 tun0/v6 addrconf ok 2001:db8:feed::1234 --> 2001:db8:beef::4321
전역 주소 또는 대체 로컬 및 원격 주소 등의 주소를 추가하려면 다음과 같이 ipadm 명령을 사용하십시오.
# ipadm create-addr \ -a local=2001:db8::4728:56bc,remote=2001:db8::1428:57ab tun0 # ipadm show-addr tun0 ADDROBJ TYPE STATE ADDR tun0/v6 addrconf ok 2001:db8:feed::1234 --> 2001:db8:beef::4321 tun0/v6a static ok 2001:db8::4728:56bc --> 2001:db8::1428:57ab
6to4 터널에서 6to4 라우터는 네트워크의 6to4 사이트에 있는 노드에 대한 IPv6 라우터로 사용되어야 합니다. 따라서 6to4 라우터를 구성할 때 물리적 인터페이스에서 해당 라우터가 IPv6 라우터로도 구성되어야 합니다. IPv6 경로 지정에 대한 자세한 내용은 IPv6 경로 지정을 참조하십시오.
# dladm create-iptun -T 6to4 -a local=address tunnel-link
이 명령에 사용할 수 있는 옵션 및 인수는 다음과 같습니다.
터널 로컬 주소를 지정합니다. 이 주소가 시스템에 이미 존재해야 유효한 주소입니다.
IP 터널 링크를 지정합니다. 네트워크 링크 관리에서 의미 있는 이름이 지원되는 경우, 터널 이름이 더 이상 만들려는 터널의 유형으로 제한되지 않습니다. 대신 관리상 선택한 이름을 터널에 지정할 수 있습니다. 터널 이름은 문자열과 PPA 번호로 구성됩니다(예: mytunnel0). 의미 있는 이름의 지정과 관련된 규칙을 보려면 Oracle Solaris 11 네트워킹 소개의 유효한 링크 이름 규칙을 참조하십시오.
# ipadm create-ip tunnel-interface
여기서 tunnel-interface는 터널 링크와 동일한 이름을 사용합니다.
if subnet-interface AdvSendAdvertisements 1 IPv6-address subnet-interface
첫번째 행은 알림을 수신하는 서브넷을 지정합니다. subnet-interface는 서브넷이 연결되어 있는 링크를 나타냅니다. 두번째 행의 IPv6 주소에는 6to4 터널의 IPv6 주소에 사용되는 6to4 접두어 2000이 지정됩니다.
ndpd.conf 파일에 대한 자세한 내용은 ndpd.conf(4) 매뉴얼 페이지를 참조하십시오.
# ipadm set-prop -p forwarding=on ipv6
또는 /etc/inet/in.ndpd 데몬에 대해 sighup을 실행하여 라우터 알림 전송을 시작할 수 있습니다. 6to4 접두어를 수신하기 위해 각 서브넷의 IPv6 노드가 이제 새 6to4 파생 주소로 자동 구성됩니다.
지침은 IPv6용 이름 서비스 지원 구성을 참조하십시오.
예 6-4 6to4 터널 만들기
이 예에서 서브넷 인터페이스는 bge0이며, /etc/inet/ndpd.conf가 적합한 단계에서 이 인터페이스를 참조하게 됩니다.
이 예제에서는 6to4 터널을 만드는 방법을 보여줍니다. IPv6 인터페이스만 6to4 터널을 경유하도록 구성할 수 있습니다.
# dladm create-iptun -T 6to4 -a local=192.168.35.10 tun0 # ipadm create-ip tun0 # ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 net0/v4 static ok 192.168.35.10/24 lo0/v6 static ok ::1/128 tun0/_a static ok 2002:c0a8:57bc::1/64 # ipadm create-addr -a 2002:c0a8:230a::2/16 tun0 # ipadm create-addr -a 2002:c0a8:230a::3/16 tun0 # ipadm show-addr tun0 ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 net0/v4 static ok 192.168.35.10/24 lo0/v6 static ok ::1/128 tun0/_a static ok 2002:c0a8:57bc::1/64 tun0/v6 static ok 2002:c0a8:230a::2/16 tun0/v6a static ok 2002:c0a8:230a::3/16 # vi /etc/inet/ndpd.conf if bge0 AdvSendAdvertisements 1 2002:c0a8:57bc::1/64 bge0 # ipadm set-prop -p forwarding=on ipv6
6to4 터널에 대한 IPv6 주소 접두어는 2002입니다.
주의 - 주요 보안 문제로 인해 6to4 릴레이 라우터 지원은 기본적으로 Oracle Solaris에서 사용 안함으로 설정되어 있습니다. Troubleshooting Network Issues의 Security Issues When Tunneling to a 6to4 Relay Router을 참조하십시오. |
시작하기 전에
6to4 릴레이 라우터에 대한 터널을 사용으로 설정하기 전에 다음 작업을 수행해야 합니다.
사이트에서 6to4 라우터 구성(IP 터널을 만들고 구성하는 방법에 설명됨)
6to4 릴레이 라우터에 대한 터널링과 관련된 보안 문제 검토
애니캐스트 6to4 릴레이 라우터에 대한 터널을 사용으로 설정합니다.
# /usr/sbin/6to4relay -e
-e 옵션은 6to4 라우터와 애니캐스트 6to4 릴레이 라우터 간에 터널을 설정합니다. 애니캐스트 6to4 릴레이 라우터는 잘 알려진 IPv4 주소 192.88.99.1을 사용합니다. 사용자의 사이트와 물리적으로 가장 가까운 애니캐스트 릴레이 라우터가 6to4 터널의 끝점이 됩니다. 이 릴레이 라우터는 6to4 사이트와 원시 IPv6 사이트 간 패킷 전달을 처리합니다.
애니캐스트 6to4 릴레이 라우터에 대한 자세한 내용은 RFC 3068, "An Anycast Prefix for 6to4 Relay Routers"를 참조하십시오.
특정 6to4 릴레이 라우터에 대한 터널을 사용으로 설정합니다.
# /usr/sbin/6to4relay -e -a relay-router-address
-a 옵션은 특정 라우터 주소가 뒤에 이어짐을 나타냅니다. relay-router-address는 터널을 사용으로 설정할 특정 6to4 릴레이 라우터의 IPv4 주소로 바꿉니다.
6to4 릴레이 라우터에 대한 터널은 6to4 터널 의사 인터페이스를 제거할 때까지 활성 상태로 유지됩니다.
# /usr/sbin/6to4relay -d
6to4 라우터가 재부트될 때마다 사이트에서 6to4 릴레이 라우터에 대한 터널을 원래 상태로 복원해야 하는 이유가 있을 수 있습니다. 이 시나리오를 지원하려면 다음을 수행해야 합니다.
예 6-5 6to4 릴레이 라우터 지원에 대한 상태 정보 가져오기
/usr/bin/6to4relay 명령을 사용하여 6to4 릴레이 라우터에 대한 지원을 사용으로 설정할지 여부를 확인할 수 있습니다. 다음 예는 6to4 릴레이 라우터에 대한 지원이 사용 안함으로 설정된 경우(Oracle Solaris의 기본값)의 출력을 보여줍니다.
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is disabled.
6to4 릴레이 라우터에 대한 지원이 사용으로 설정되면 다음과 같은 출력이 표시됩니다.
# /usr/sbin/6to4relay 6to4relay: 6to4 Relay Router communication support is enabled. IPv4 remote address of Relay Router=192.88.99.1
# dladm modify-iptun -a [local|remote]=addr,... tunnel-link
기존 터널의 유형은 수정할 수 없습니다. 따라서 -T type 옵션은 이 명령에 사용할 수 없습니다. 수정 가능한 터널 매개변수는 다음과 같습니다.
로컬 주소 및 원격 터널 주소에 해당하는 리터럴 IP 주소 또는 호스트 이름을 지정합니다. 터널의 유형에 따라 주소를 한 개만 지정하거나, 로컬 및 원격 주소를 모두 지정합니다. 로컬 및 원격 주소를 모두 지정하는 경우 주소를 쉼표로 구분해야 합니다.
IPv4 터널이 작동하려면 로컬 및 원격 IPv4 주소가 필요합니다.
IPv6 터널이 작동하려면 로컬 및 원격 IPv6 주소가 필요합니다.
6to4 터널이 작동하려면 로컬 IPv4 주소가 필요합니다.
영구 IP 터널 데이터 링크 구성에 호스트 이름을 주소로 사용하는 경우 호스트 이름은 구성 저장소에 저장됩니다. 이후에 시스템을 부트할 때 이름이 터널을 만든 당시에 사용했던 IP 주소와 다른 IP 주소로 분석되는 경우 터널이 새 구성을 사용하게 됩니다.
터널의 로컬 및 원격 주소를 변경하는 경우 해당 주소가 수정하려는 터널의 유형과 일치하는지 확인합니다.
주 - 터널 링크의 이름을 변경하려면 modify-iptun 하위 명령을 사용하지 마십시오. 대신 dladm rename-link를 사용하십시오.
# dladm rename-link old-tunnel-link new-tunnel-link
마찬가지로, hoplimit 또는 encaplimit와 같은 터널 등록 정보를 변경하려면 modify-iptun 명령을 사용하지 마십시오. 대신 dladm set-linkprop 명령을 사용하여 해당 등록 정보의 값을 설정하십시오.
예 6-6 터널의 주소 및 등록 정보 수정
이 예는 두 개의 절차로 구성됩니다. 먼저 IPv4 터널 vpn0의 로컬 및 원격 주소가 일시적으로 변경됩니다. 나중에 시스템을 재부트하면 터널이 원래 주소를 사용하도록 복원됩니다. 두번째 절차는 vpn0의 hoplimit를 60으로 변경합니다.
# dladm modify-iptun -t -a local=10.8.48.149,remote=192.1.2.3 vpn0 # dladm set-linkprop -p hoplimit=60 vpn0
# dladm show-iptun [-p] -o fields [tunnel-link]
이 명령과 함께 사용할 수 있는 옵션은 다음과 같습니다.
시스템에서 분석 가능한 형식으로 정보를 표시합니다. 이 인수는 선택적입니다.
특정 터널 정보를 표시하는 선택한 필드를 표시합니다.
표시할 구성 정보를 포함하는 터널을 지정합니다. 이 인수는 선택적입니다. 터널 이름을 생략하면 시스템에 있는 모든 터널에 대한 정보가 표시됩니다.
예 6-7 모든 터널에 대한 정보 표시
이 예에서는 한 개의 터널만 시스템에 존재합니다.
# dladm show-iptun LINK TYPE FLAGS LOCAL REMOTE tun0 6to4 -- 192.168.35.10 -- vpn0 ipv4 -- 10.8.48.149 192.1.2.3
예 6-8 시스템에서 분석 가능한 형식으로 선택한 필드 표시
이 예에서는 터널 정보를 포함하는 특정 필드만 표시됩니다.
# dladm show-iptun -p -o link,type,local tun0:6to4:192.168.35.10 vpn0:ipv4:10.8.48.149
# dladm show-linkprop [-c] [-o fields] [tunnel-link]
이 명령과 함께 사용할 수 있는 옵션은 다음과 같습니다.
시스템에서 분석 가능한 형식으로 정보를 표시합니다. 이 인수는 선택적입니다.
링크 등록 정보에 대한 특정 정보를 제공하는 선택한 필드를 표시합니다.
표시할 등록 정보에 대한 정보를 포함하는 터널을 지정합니다. 이 인수는 선택적입니다. 터널 이름을 생략하면 시스템에 있는 모든 터널에 대한 정보가 표시됩니다.
예 6-9 터널 등록 정보 표시
이 예는 터널의 링크 등록 정보를 모두 표시하는 방법을 보여줍니다.
# dladm show-linkprop tun0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE tun0 autopush -- -- -- -- tun0 zone rw -- -- -- tun0 state r- up up up,down tun0 mtu r- 65515 -- 576-65495 tun0 maxbw rw -- -- -- tun0 cpus rw -- -- -- tun0 priority rw high high low,medium,high tun0 hoplimit rw 64 64 1-255
# ipadm delete-ip tunnel-link
주 - 터널을 성공적으로 삭제하기 위해서는 터널에 설정된 기존 IP 인터페이스가 없어야 합니다.
# dladm delete-iptun tunnel-link
이 명령의 유일한 옵션은 터널을 일시적으로 삭제하는 -t입니다. 시스템을 재부트하면 터널이 복원됩니다.
예 6-10 IPv6 인터페이스로 구성된 IPv6 터널 삭제
이 예에서는 영구 터널이 영구적으로 삭제됩니다.
# ipadm delete-ip ip6.tun0 # dladm delete-iptun ip6.tun0