在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

链路保护类型

Oracle Solaris 中的链路保护机制提供以下保护类型:

mac-nospoof

启用针对系统 MAC 地址欺骗的保护。如果链路属于某个区域,启用 mac-nospoof 将防止该区域的所有者修改该链路的 MAC 地址。

ip-nospoof

启用针对 IP 欺骗的保护。缺省情况下,允许包含 DHCP 地址和链路本地 IPv6 地址的传出包。

您可以使用 allowed-ips 链路属性添加地址。对于 IP 地址,包的源地址必须匹配 allowed-ips 列表中的地址。对于 ARP 包,包的发送方协议地址必须位于 allowed-ips 列表中。

dhcp-nospoof

启用针对 DHCP 客户机欺骗的保护。缺省情况下,允许其 ID 与系统的 MAC 地址相匹配的 DHCP 包。

您可以使用 allowed-dhcp-cids 链路属性添加允许的客户机。必须按 dhcpagent(1M) 手册页中指定的方式设置 allowed-dhcp-cids 列表项的格式。

restricted

将传出包限制为 IPv4、IPv6 和 ARP。这种保护类型的目的是阻止链路生成可能有害的 L2 控制帧。


注 - 针对以下四种保护类型的内核统计数据会跟踪由于链路保护而被丢弃的包:mac_spoofeddhcp_spoofedip_spoofedrestricted。要检索这些基于链路的统计数据,请参见如何查看链路保护配置和统计信息

有关这些保护类型的更完整的说明,请参见 dladm(1M) 手册页。