La procédure suivante décrit la création d'un réseau virtuel privé et activez-la pour envoyer le trafic réseau au-delà du système. Même si la zone fait partie du réseau virtuel, il ne sera pas possible d'y accéder à partir de systèmes externes. Pour activer la zone isolée pour envoyer le trafic réseau au-delà du système, vous devez utiliser NAT (Network Address Translation). NAT traduit les adresses IP privées de la carte VNIC en adresses IP acheminables de l'interface réseau physique. Toutefois, les adresses IP privées elles-mêmes ne sont pas visibles à partir du réseau externe. Pour plus d'informations sur NAT, reportez-vous à la section Utilisation de la fonctionnalité NAT d’IP Filter du manuel Sécurisation du réseau dans Oracle Solaris 11.2 .
L'utilisation d'etherstubs constitue la différence entre un réseau virtuel normal et un réseau virtuel privé. Dans un réseau virtuel privé, les cartes VNIC qui sont affectées aux zones sont configurées sur un etherstub et sont isolées du trafic réseau à travers le système.
Cette procédure suppose que la zone existe déjà, mais ne possède pas actuellement d'interface associée.
Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
global# dladm create-etherstub etherstub
global# dladm create-vnic -l etherstub VNIC
Vous configurerez l'interface VNIC ultérieurement dans cette procédure.
global# zonecfg -z zone zonecfg:zone> add net zonecfg:zone:net> set physical=VNIC zonecfg:zone:net> end
zonecfg:zone> verify zonecfg:zone> commit zonecfg:zone> exit
global# zoneadm -z zone reboot
global# zlogin zone
zone# ipadm create-ip interface
zone# ipadm create-addr -a address interface
zone# ipadm create-addr -T dhcp interface
zone# exit
global# ipadm set-ifprop -p forwarding=on -m ipv4 primary-interface
global# svcadm enable network/ipfilter
global# zoneadm -z zone reboot
Dans cet exemple, la zone3 est configurée pour être isolée en tant que réseau privé. Le protocole NAT et la transmission IP sont également configurés pour permettre au réseau virtuel privé d'envoyer des paquets en dehors de l'hôte tout en dissimulant son adresse privée au réseau externe. La zone est déjà configurée avec un type d'IP exclusif. Cependant, aucune interface IP sont assignées à la zone.
global# dladm create-etherstub ether0 global# dladm create-vnic -l ether0 vnic3 global# zonecfg -z zone3 zonecfg:zone3> add net zonecfg:zone3:net> set physical=vnic3 zonecfg:zone3:net> end zonecfg:zone3> verify zonecfg:zone3> commit zonecfg:zone3> exit global# zoneadm -z zone3 reboot global# zlogin zone3 zone3# ipadm create-ip vnic3 zone3# ipadm create-addr -a 192.168.0.10/24 vnic3 ipadm: vnic3/v4 zone3# exit global# pfedit /etc/hosts ::1 localhost 127.0.0.1 localhost 192.168.3.70 loghost #For net0 192.168.3.80 zone1 #using vnic1 192.168.3.85 zone2 #using vnic2 192.168.0.10 zone3 #using vnic3 global# ipadm set-ifprop -p forwarding=on -m ipv4 vnic3 global# pfedit /etc/ipf/ipnat.conf map vnic3 192.168.0.0/24 -> 0/32 portmap tcp/udp auto map vnic3 192.168.0.0/24 -> 0/32 global# svcadm enable network/ipfilter global# zoneadm -z zone3 reboot