在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何查看链路保护配置和统计信息

开始之前

您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 查看链路保护属性值。
    # dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link

    以下示例显示了 vnic0 链路的 protectionallowed-ipsallowed-dhcp-cids 属性的值。

    # dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0
    LINK    PROPERTY            PERM  VALUE         EFFECTIVE   DEFAULT POSSIBLE
    vnic0   protection          rw    mac-nospoof   mac-nospoof --      mac-nospoof,
                                      restricted    restricted          restricted,
                                      ip-nospoof    ip-nospoof          ip-nospoof,
                                      dhcp-nospoof  dhcp-nospoof        dhcp-nospoof
    vnic0   allowed-ips         rw    10.0.0.1,     10.0.0.1,   --      --
                                      10.0.0.2      10.0.0.2
    vnic0   allowed-dhcp-cids   rw    hello         hello       --      --

    注 - 仅当 ip-nospoof 已启用,列在 EFFECTIVE 下时,才使用 allowed-ips 属性。仅当 dhcp-nospoof 已启用时,才使用 allowed-dhcp-cids 属性。
  2. 查看链路保护统计信息。

    已提交 dlstat 命令输出,因此该命令适用于脚本。

    # dlstat -A
    ...
     vnic0
      mac_misc_stat
                   multircv                       0
                  brdcstrcv                       0
                   multixmt                       0
                  brdcstxmt                       0
              multircvbytes                       0
               bcstrcvbytes                       0
              multixmtbytes                       0
               bcstxmtbytes                       0
                   txerrors                       0
                 macspoofed                       0  <----------
                  ipspoofed                       0  <----------
                dhcpspoofed                       0  <----------
                 restricted                       0  <----------
                   ipackets                       3
                     rbytes                     182
    ...

    该输出表明没有受欺骗或受限制的包已尝试通过。

    可使用 kstat 命令,但其输出尚未提交。例如,以下命令可找到 dhcpspoofed 统计数据:

    # kstat vnic0:0:link:dhcpspoofed
    module: vnic0                           instance: 0
    name:   link                            class:    vnic
            dhcpspoofed                     0 

    有关更多信息,请参见 dlstat(1M)kstat(1M) 手册页。