システム構成で仮想化の導入が増えることによって、ホスト管理者は、ゲスト仮想マシン (VM) に物理リンクまたは仮想リンクへの排他的アクセス権を付与することができます。この構成では、仮想環境のネットワークトラフィックを、ホストシステムによって送受信される幅広いトラフィックから分離できるため、ネットワークパフォーマンスが向上します。同時に、この構成はシステムとネットワーク全体をゲスト環境で生成される可能性のある有害なパケットのリスクにさらす可能性があります。
リンク保護は、潜在的に悪意のあるゲスト VM がネットワークに対して引き起こす可能性のある損害を回避することを目的としています。この機能は、次の基本的な脅威から保護します。
IP、 DHCP、および MAC のなりすまし
Bridge Protocol Data Unit (BPDU) 攻撃などの L2 フレームのなりすまし
Oracle Solaris でのリンク保護メカニズムは、次の保護のタイプがあります。
システムの MAC アドレスのなりすましに対する保護を有効にします。リンクがゾーンに属する場合、mac-nospoof を有効にすると、ゾーンの所有者がそのリンクの MAC アドレスを変更することを妨げます。
IP なりすましに対する保護を有効にします。デフォルトで、DHCP アドレスとリンクローカル IPv6 アドレスを含むアウトバウンドパケットが許可されます。
allowed-ips リンクプロパティーを使用して、アドレスを追加できます。IP アドレスの場合、パケットのソースアドレスは allowed-ips リスト内のアドレスに一致する必要があります。ARP パケットの場合、パケットの送信者のプロトコルアドレスが allowed-ips リスト内に存在する必要があります。
DHCP クライアントのなりすましに対する保護を有効にします。デフォルトでは、ID がシステムの MAC アドレスと一致している DHCP パケットを使用できます。
allowed-dhcp-cids リンクプロパティーを使用して、許可されるクライアントを追加できます。allowed-dhcp-cids リスト内のエントリは、dhcpagent(1M) のマニュアルページに指定されているとおりに書式設定されている必要があります。
送信パケットを IPv4、IPv6、および ARP に制限します。この保護のタイプは、潜在的に有害な L2 制御フレームがリンクから生成されるのを妨ぐよう設計されています。
これらの保護タイプの詳細については、dladm(1M) のマニュアルページを参照してください。