第37 章• IPQoS 的详细介绍（参考） 791
tokenmt 计量模块
tokenmt 模块使用令牌桶来度量流的传输速率。您可以配置tokenmt 作为单速率或双速率计
量器运行。tokenmt 操作实例维护两个可确定通信流是否符合已配置的参数的令牌桶。
tokenmt(7ipp) 手册页介绍了IPQoS 如何实现令牌桶计量器模型。您可以在Kalevi Kilkki 所著
的《Differentiated Services for the Internet》和许多Web 站点上找到有关令牌桶的更多常规信
息。
tokenmt 的配置参数如下：
 committed_rate－指定流的承诺速率（以bps 为单位）。
 committed_burst－指定承诺突发大小（以位为单位）。committed_burst 参数定义可以
以承诺速率向网络传送的特定类的传出包数目。
 peak_rate－指定峰值速率（以bps 为单位）。
 peak_burst－指定峰值或超出突发大小（以位为单位）。peak_burst 参数准许通信类具
有超过承诺速率的峰值突发大小。
 color_aware－打开tokenmt 的识别模式。
 color_map－定义一个将DSCP 值映射到绿色、黄色或红色的整数数组。
将tokenmt 配置为单速率计量器
要将tokenmt 配置为单速率计量器，请不要在IPQoS 配置文件中为tokenmt 指定peak_rate
参数。要将单速率tokenmt 实例配置为具有红色、绿色或黄色的结果，必须指定peak_burst
参数。如果不使用peak_burst 参数，可以将tokenmt 配置为只有红色或绿色的结果。有关
具有两种结果的单速率tokenmt 的示例，请参见示例34–3。
当tokenmt 作为单速率计量器运行时，peak_burst 参数实际为超出突发大小。
committed_rate、committed_burst 和peak_burst 必须为非零正整数。
将tokenmt 配置为双速率计量器
要将tokenmt 配置为双速率计量器，请在IPQoS 配置文件中为tokenmt 操作指定peak_rate
参数。双速率tokenmt 始终具有三种结果，即红色、黄色和绿色。committed_rate、
committed_burst 和peak_burst 参数必须为非零正整数。
将tokenmt 配置为可识别颜色
要将双速率tokenmt 配置为可识别颜色，必须添加参数以专门添加“颜色识别”功能。以下是
将tokenmt 配置为可识别颜色的操作语句示例。
示例37–1 IPQoS 配置文件的可识别颜色的tokenmt 操作
action {
module tokenmt
IPQoS 体系结构和Diffserv 模型
792 系统管理指南：IP 服务• 2006 年8 月
示例37–1 IPQoS 配置文件的可识别颜色的tokenmt 操作（续）
name meter1
params {
committed_rate 4000000
peak_rate 8000000
committed_burst 4000000
peak_burst 8000000
global_stats true
red_action_name continue
yellow_action_name continue
green_action_name continue
color_aware true
color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
}
}
您可以通过将color_aware 参数设置为true 来打开颜色识别。作为可识别颜色的计量器，
tokenmt 假设先前的tokenmt 操作已将包标记为红色、黄色或绿色。除使用双速率计量器的
参数外，可识别颜色的tokenmt 还使用包头中的DSCP 来评估包。
color_map 参数包含包头中的DSCP 要映射到的数组。请考虑以下color_map 数组：
color_map {0-20,22:GREEN;21,23-42:RED;43-63:YELLOW}
DSCP 为0 至20 和22 的包映射到绿色。DSCP 为21 和23 至42 的包映射到红色。DSCP 为43
至63 的包映射到黄色。tokenmt 保留缺省的颜色映射。但是，您可以根据需要使用
color_map 参数来更改缺省设置。
在color_action_name 参数中，可以指定continue 以完成对包的处理。或者，可以添加一个
参数以将包发送到标记器操作，例如yellow_action_name mark22。
IPQoS 体系结构和Diffserv 模型
第37 章• IPQoS 的详细介绍（参考） 793
tswtclmt 计量模块
tswtclmt 计量模块使用基于时间的速率估计器来估测通信类的平均带宽。tswtclmt 始终作
为三重结果计量器运行。速率估计器可估测流的到达速率。此速率应接近通信流在特定时
间段（即其时间窗口）内的平均传送带宽。速率估计算法可从RFC 2859，"ATime Sliding
Window Three Colour Marker" 中获取。
可以使用以下参数配置tswtclmt：
 committed_rate－指定承诺速率（以bps 为单位）
 peak_rate－指定峰值速率（以bps 为单位）
 window－定义保持平均带宽历史记录的时间窗口（以毫秒为单位）
有关tswtclmt 的详细技术信息，请参阅tswtclmt(7ipp) 手册页。有关类似tswtclmt 的码率
整形器的常规信息，请参见RFC 2963，"A Rate Adaptive Shaper for Differentiated Services"
(http://www.ietf.org/rfc/rfc2963.txt?number=2963)。
标记器模块
IPQoS 包括两个标记器模块：dscpmk 和dlcosmk。本节包含有关使用这两个标记器的信息。
通常情况下，应使用dscpmk，因为dlcosmk 仅可用于具有VLAN 设备的IPQoS 系统。
有关dscpmk 的技术信息，请参阅dscpmk(7ipp) 手册页。有关dlcosmk 的技术信息，请参阅
dlcosmk(7ipp) 手册页。
使用dscpmk 标记器转发包
标记器将在分类器或计量模块处理过通信流之后接收这些流。标记器将使用转发行为标记
通信。此转发行为是在流离开IPQoS 系统之后要对流执行的操作。要对通信类执行的转发
行为在单跳行为(per-hop behavior, PHB) 中定义。PHB 为通信类指定优先级，指明该类流相
对于其他类流的优先级。PHB 仅管理IPQoS 系统的连续网络中的转发行为。有关PHB 的更
多信息，请参阅第723 页中的“单跳行为”。
包转发是指在网络中将特定类的通信发送到下一个目的地的过程。对于诸如IPQoS 系统的
主机，会将包从主机转发到本地网络流。对于Diffserv 路由器，会将包从本地网络转发到路
由器的下一个跃点。
标记器使用IPQoS 配置文件中定义的已知转发行为来标记包头中的DS 字段。此后，IPQoS
系统和后续可识别Diffserv 的系统便会按照DS 字段中的指示转发通信，直到更改标记。要
指定PHB，IPQoS 系统应在包头的DS 字段中标记值。此值称为区分服务代码点
(differentiated service codepoint, DSCP)。Diffserv 体系结构定义的两种转发行为是EF 和AF，
它们使用不同的DSCP。有关DSCP 的概述信息，请参阅第723 页中的“DS 代码点”。
IPQoS 系统读取通信流的DSCP，并评估此流相对于其他传出通信流的优先级。然后，
IPQoS 系统设置所有并发通信流的优先级，并根据优先级将每个流释放到网络中。
IPQoS 体系结构和Diffserv 模型
794 系统管理指南：IP 服务• 2006 年8 月
Diffserv 路由器接收传出通信流，并读取包头中的DS 字段。使用DSCP，路由器可以对并发
通信流设置优先级并进行调度。路由器将按照PHB 指示的优先级转发每个流。请注意，
PHB 不能在网络的边界路由器之外应用，除非后续跃点上的可识别Diffserv 的系统也可识别
同一PHB。
加速转发(Expedited Forwarding, EF) PHB
加速转发(Expedited forwarding, EF) 保证具有推荐EF 代码点46 (101110) 的包在释放到网络中
时得到最高优先级的处理。通常将加速转发比喻为租用线路。确保所有Diffserv 路由器保证
会优先处理具有46 (101110) 代码点的包，将其路由到其目的地。有关EF 的技术信息，请参
阅RFC 2598，"An Expedited Forwarding PHB"。
确保转发(Assured Forwarding, AF) PHB
确保转发(Assured forwarding, AF) 提供四种可以指定给标记器的不同转发行为类。下表显示
了这些类、每个类的三个丢弃优先级以及与每个优先级关联的推荐DSCP。每个DSCP 都分
别用其AF 值、十进制值和二进制值表示。
表37–2确保转发代码点
类1 类2 类3 类4
低丢弃优先级AF11 =
10 (001010)
AF21 =
18 (010010)
AF31 =
26 (011010)
AF41 =
34 (100010)
中丢弃优先级AF12 =
12 (001100)
AF22 =
20 (010100)
AF32 =
28 (011100)
AF42 =
36 (100100)
高丢弃优先级AF13 =
14 (001110)
AF23 =
22 (010110)
AF33 =
30 (011110)
AF43 =
38 (100110)
任何可识别Diffserv 的系统均可将AF 代码点用作向不同通信类提供区分转发行为的指南。
当这些包到达Diffserv 路由器时，路由器便会评估包的代码点以及队列中其他通信的
DSCP。然后，路由器会转发或丢弃包，具体取决于可用带宽以及包的DSCP 所指定的优先
级。请注意，以EF PHB 为标记的包保证比以各种AF PHB 为标记的包优先使用带宽。
协调网络中所有IPQoS 系统和Diffserv 路由器之间的包标记，确保包按预期方式转发。例
如，假定网络中的IPQoS 系统使用AF21 (010010)、AF13 (001110)、AF43 (100110) 和EF
(101110) 代码点标记包。这样，便需要将AF21、AF13、AF43 和EF DSCP 添加到Diffserv 路
由器上的相应文件中。
有关AF 代码点表的技术说明，请参阅RFC 2597。路由器制造商Cisco Systems 和Juniper
Networks 在其Web 站点上提供了有关设置AF PHB 的详细信息。您可以使用此信息来为
IPQoS 系统和路由器定义AF PHB。此外，路由器制造商的文档包含在其设备上设置DS 代
码点的说明。
IPQoS 体系结构和Diffserv 模型
第37 章• IPQoS 的详细介绍（参考） 795
为标记器提供DSCP
DSCP 的长度为6 位。DS 字段的长度为1 字节。定义DSCP 时，标记器将使用DS 代码点来
标记包头的前6 个重要的位。其余的2 个次要的位将不会使用。
要定义DSCP，您可以在标记器操作语句中使用以下参数：
dscp_map{0-63:DS_codepoint}
dscp_map 参数是包含64 个元素的数组，此数组将使用(DSCP) 值进行填充。dscp_map 用于
将传入DSCP 映射到dscpmk 标记器要应用的传出DSCP。
必须采用十进制表示法为dscp_map 指定DSCP 值。例如，必须将EF 代码点101110 转换为十
进制值46，结果为dscp_map{0-63:46}。对于AF 代码点，必须将表37–2 中显示的各种代码
点转换为十进制表示法，以便与dscp_map 一起使用。
将dlcosmk 标记器用于VLAN 设备
dlcosmk 标记器模块在数据报的MAC头中标记转发行为。只能在具有VLAN 接口的IPQoS
系统上使用dlcosmk。
dlcosmk 会向MAC头中添加称为VLAN 标记的四个字节。VLAN 标记包括由IEEE 801.D 标
准定义的3 位用户优先级值。了解VLAN 的可识别Diffserv 的交换机可以读取数据报中的用
户优先级字段。801.D 用户优先级值实现服务类(class-of-service, CoS) 标记，这些标记为商
业交换机所熟知和了解。
您可以通过定义下表中列出的服务类标记，在dlcosmk 标记器操作中使用用户优先级值。
表37–3 801.D 用户优先级值
服务类定义
0 尽力服务
1 后台
2 备用
3 出色服务
4 受控负载
5 少于100 ms 延迟的视频
6 少于10 ms 延迟的视频
7 网络控制
有关dlcosmk 的更多信息，请参阅dlcosmk(7ipp) 手册页。
IPQoS 体系结构和Diffserv 模型
796 系统管理指南：IP 服务• 2006 年8 月
具有VLAN 设备的系统的IPQoS 配置
本节介绍一个简单网络方案，说明如何在具有VLAN 设备的系统上实现IPQoS。此方案包
括两个由交换机连接的IPQoS 系统：machine1 和machine2。machine1 上的VLAN 设备的IP
地址为10.10.8.1。machine2 上的VLAN 设备的IP 地址为10.10.8.3。
以下用于machine1 的IPQoS配置文件说明了如何标记通过交换机到machine2 的通信的简单
解决方案。
示例37–2 具有VLAN设备的系统的IPQoS 配置文件
fmt_version 1.0
action {
module ipgpc
name ipgpc.classify
filter {
name myfilter2
daddr 10.10.8.3
class myclass
}
class {
name myclass
next_action mark4
}
}
action {
name mark4
IPQoS 体系结构和Diffserv 模型
第37 章• IPQoS 的详细介绍（参考） 797
示例37–2 具有VLAN设备的系统的IPQoS 配置文件（续）
module dlcosmk
params {
cos 4
next_action continue
global_stats true
}
}
在此配置中，所有来自machine1 并且目标为machine2 上的VLAN 设备的通信都将被传送到
dlcosmk 标记器。mark4 标记器操作指示dlcosmk 向CoS 为4 的myclass 类数据报中添加
VLAN 标记。用户优先级值4 指示两台计算机之间的交换机应该为来自machine1 的myclass
通信流提供受控负载转发。
flowacct 模块
IPQoS flowacct 模块记录有关通信流的信息，此过程称为流记帐。流记帐将生成可用于向
用户收费或评估到特定类的通信量的数据。
流记帐为可选过程。flowacct 通常是已计量或已标记的通信流在释放到网络流之前可能会
遇到的最后一个模块。有关flowacct 在Diffserv 模型中的位置的说明，请参见图32–1。有
关flowacct 的详细技术信息，请参阅flowacct(7ipp) 手册页。
要启用流记帐，除需要使用flowacct 外，还需要使用Solaris exacct 记帐功能和acctadm 命
令。有关设置流记帐的所有步骤的信息，请参阅第783 页中的“设置流记帐（任务列表）
”。
flowacct 参数
flowacct 模块将有关流的信息收集在由流记录组成的流表中。表中的每项都包含一个流记
录。无法显示流表。
在IPQoS 配置文件中，您可以定义以下flowacct 参数以度量流记录并将记录写入流表中：
 timer－定义将已超时的流从流表中删除和写入由acctadm 创建的文件中的时间间隔（以
毫秒为单位）
 timeout－定义一个时间间隔（以毫秒为单位），它指定了在流超时之前包流必须保持
不活动状态的时间
IPQoS 体系结构和Diffserv 模型
798 系统管理指南：IP 服务• 2006 年8 月
注– 您可以将timer 和timeout 配置为具有不同的值。
 max_limit－针对可存储在流表中的流记录数设置上限
有关如何在IPQoS 配置文件中使用flowacct 参数的示例信息，请参阅第770 页中的“如何
在IPQoS 配置文件中配置流控制”。
流表
flowacct 模块将维护流表，此表记录了由flowacct 实例查看的所有包流。流由以下参数标
识，其中包括flowacct 8 元组：
 源地址
 目标地址
 源端口
 目标端口
 DSCP
 用户ID
 项目ID
 协议编号
如果流的8 元组的所有参数保持不变，则流表仅包含一个项。max_limit 参数确定流表可以
包含的项数。
将按照在IPQoS 配置文件中为timer 参数指定的时间间隔扫描流表。缺省值为15 秒。如果
IPQoS 系统在IPQoS 配置文件中指定的timeout 时间间隔内未发现流的包，则表示此流
已“超时”。缺省超时时间间隔为60 秒。已超时的项将被写入使用acctadm 命令创建的记帐
文件中。
flowacct 记录
flowacct 记录包含下表中介绍的属性。
表37–4 flowacct 记录的属性
属性名称属性内容类型
src-addr-address-type 始发者的源地址。address-type 对于IPv4 为v4，
对于IPv6 为v6，如IPQoS 配置文件中所指定。
基本
dest-addr-address-type 包的目标地址。address-type 对于IPv4 为v4，对
于IPv6 为v6，如IPQoS 配置文件中所指定。
基本
src-port 传出流的源端口。基本
dest-port 要将此流送达的目标端口号。基本
protocol 流的协议编号。基本
IPQoS 体系结构和Diffserv 模型
第37 章• IPQoS 的详细介绍（参考） 799
表37–4 flowacct 记录的属性（续）
属性名称属性内容类型
total-packets 流中的包数。基本
total-bytes 流中的字节数。基本
action-name 记录此流的flowacct 操作的名称。基本
creation-time flowacct 首次发现该流的包的时间。仅扩展
last-seen 上次发现该流的包的时间。仅扩展
diffserv-field 此流的传出包头中的DSCP。仅扩展
user 从应用程序中获取的UNIX 用户ID 或用户名。仅扩展
projid 从应用程序中获取的项目ID。仅扩展
将acctadm 用于flowacct 模块
您可以使用acctadm 命令来创建用于存储由flowacct 生成的各种流记录的文件。acctadm 与
扩展记帐功能一起使用。有关acctadm 的技术信息，请参阅acctadm(1M) 手册页。
flowacct 模块将查看流并使用流记录填充流表。然后，flowacct 将在timer 指定的时间间
隔内评估其参数和属性。如果在last_seen 值与timeout 值之和对应的时间内未发现包，则
表示包已超时。所有超时项都将从流表中删除。每经过timer 参数指定的时间间隔，都会将
这些项写入记帐文件中。
要调用acctadm 以用于flowacct 模块，请使用以下语法：
acctadm -e file-type -f filename flow
acctadm -e 调用带有-e 选项的acctadm。-e 表示后面跟有资源列表。
file-type 指定要收集的属性。file-type 必须由basic 或extended 替换。有关每种文件
类型的属性列表的信息，请参阅表37–4。
-ffile-name 创建文件file-name 来保存流记录。
flow 指示acctadm 与IPQoS 一起运行。
IPQoS 配置文件
本节包含有关IPQoS 配置文件各部分的全部详细信息。IPQoS 引导时激活的策略存储在文
件/etc/inet/ipqosinit.conf 中。尽管您可以编辑此文件，但是对于新IPQoS 系统而言，
最佳做法是创建具有不同名称的配置文件。有关应用和调试IPQoS 配置的任务信息，请参
见第34 章。
有关IPQoS 配置文件的语法信息，请参见示例37–3。此示例使用以下约定：
IPQoS 配置文件
800 系统管理指南：IP 服务• 2006 年8 月
 computer-style type－用于介绍配置文件各部分的语法信息。您无法键入任何在计算机
样式类型中出现的文本。
 bold type－您必须在IPQoS 配置文件中键入的文字文本。例如，您必须始终使用
fmt_version 来开始IPQoS 配置文件。
 italic type－您使用有关配置的说明性信息来替换的变量文本。例如，您必须始终使用有
关配置的信息来替换action-name 或module-name。
示例37–3 IPQoS 配置文件的语法
file_format_version ::= fmt_version version
action_clause ::= action {
name action-name
module module-name
params-clause | ""
cf-clauses
}
action_name ::= string
module_name ::= ipgpc | dlcosmk | dscpmk | tswtclmt | tokenmt | flowacct
params_clause ::= params {
parameters
params-stats | ""
}
parameters ::= prm-name-value parameters | ""
prm_name_value ::= param-name param-value
params_stats ::= global-stats boolean
IPQoS 配置文件
第37 章• IPQoS 的详细介绍（参考） 801
示例37–3 IPQoS 配置文件的语法（续）
cf_clauses ::= class-clause cf-clauses |
filter-clause cf-clauses | ""
class_clause ::= class {
name class-name
next_action next-action-name
class-stats | ""
}
class_name ::= string
next_action_name ::= string
class_stats ::= enable_stats boolean
boolean ::= TRUE | FALSE
filter_clause ::= filter {
name filter-name
class class–name
parameters
}
filter_name ::= string
剩余部分介绍IPQoS 配置文件的各个主要部分。
IPQoS 配置文件
802 系统管理指南：IP 服务• 2006 年8 月
action 语句
您可以使用action 语句来调用第789 页中的“IPQoS 体系结构和Diffserv 模型”中介绍的各
种IPQoS 模块。
当您创建IPQoS 配置文件时，必须始终以版本号开始。然后，您必须添加以下action 语句
来调用分类器：
fmt_version 1.0
action {
module ipgpc
name ipgpc.classify
}
在分类器action 语句后面跟有params 子句或class 子句。
针对所有其他action 语句使用以下语法：
action {
name action-name
module module-name
params-clause | ""
cf-clauses
}
name action_name 为操作指定名称。
module module_name 标识要调用的IPQoS 模块，此模块必须为表
37–5 中的模块之一。
params_clause 可以为要处理的分类器参数，例如全局统计信
息或者要处理的下一个操作。
cf_clauses 一组零或者更多的class 子句或filter 子句
IPQoS 配置文件
第37 章• IPQoS 的详细介绍（参考） 803
模块定义
模块定义指示要处理action 语句中的参数的模块。IPQoS 配置文件可以包括以下模块。
表37–5 IPQoS 模块
模块名称定义
ipgpc IP 分类器
dscpmk 用于在IP 包中创建DSCP 的标记器
dlcosmk 用于VLAN 设备的标记器
tokenmt 令牌桶计量器
tswtclmt 时间滑动窗口计量器
flowacct 流记帐模块
class 子句
您可以为每个通信类定义class 子句。
可以使用以下语法定义IPQoS 配置中的其余类：
class {
name class-name
next_action next-action-name
}
要针对特定类启用统计信息收集，必须先在ipgpc.classify action 语句中启用全局统计信
息。有关更多信息，请参阅第803 页中的“action 语句”。
需要针对某类打开统计信息收集时，请使用enable_stats TRUE 语句。如果不需要收集类的
统计信息，则可以指定enable_stats FALSE。或者，可以删除enable_stats 语句。
未专门定义的启用了IPQoS 的网络中的通信将归入缺省类中。
IPQoS 配置文件
804 系统管理指南：IP 服务• 2006 年8 月
filter 子句
过滤器由多个将通信流分类的选定器构成。这些选定器专门定义应用于在类子句中创建的
类的通信的条件。如果包与最高优先级的过滤器的所有选定器相匹配，则此包被视为此过
滤器类的成员。有关可以与ipgpc 分类器一起使用的选定器的完整列表的信息，请参阅表
37–1。
可以使用过滤器子句在IPQoS 配置文件中定义过滤器，此子句的语法如下：
filter {
name filter-name
class class-name
parameters (selectors)
}
params 子句
params 子句包含操作语句中所定义的模块的处理指令。可以针对params 子句使用以下语法
：
params {
parameters
params-stats | ""
}
在params 子句中，可以使用适用于模块的参数。
params 子句中的params-stats 值可以是global_stats TRUE 或global_stats FALSE。
global_stats TRUE 指令将针对调用全局统计信息的action 语句启用UNIX 样式统计信息。
可以使用kstat 命令来查看该统计信息。按类启用统计信息之前，必须先启用action 语句
统计信息。
IPQoS 配置文件
第37 章• IPQoS 的详细介绍（参考） 805
ipqosconf 配置实用程序
您可以使用ipqosconf 实用程序来读取IPQoS 配置文件，并在UNIX 内核中配置IPQoS 模
块。ipqosconf 执行以下操作：
 将配置文件应用于IPQoS 内核模块(ipqosconf -a filename)
 列出当前驻留在内核中的IPQoS 配置文件(ipqosconf -l)
 确保每次重新引导计算机时会读取和应用当前的IPQoS 配置(ipqosconf -c)
 刷新当前IPQoS 内核模块(ipqosconf -f)
有关技术信息，请参阅ipqosconf(1M) 手册页。
ipqosconf 配置实用程序
806 系统管理指南：IP 服务• 2006 年8 月
词汇表
本词汇表包含出现在本书中但未包括在Sun 全局词汇表（可以从docs.sun.com Web 站点获
取）中的新术语的定义。
请参见Triple-DES（三重DES）。
在移动IP 中，由内部网络管理员指定的一组地址，供需要内部地址的移动节点使用。
高级加密标准。一种对称的128 位块数据加密技术。美国政府在2000 年10 月采用算法的
Rijndael 变体作为加密标准，AES 从而取代了DES 成为政府的加密标准。
在移动IP 中，由内部代理和外部代理定期发送的消息，以通告它们存在于任一已连接链路
上。
在移动IP 中，移动节点用来确定它是否移动、其当前位置及其在外部网络中的转交地址的
过程。
为一组接口（通常属于不同的节点）指定的IPv6 地址。发送到任意点传送地址的包将被路
由到最近的具有该地址的接口。包的路由符合路由协议的距离度量原则。
一组具有相同任意点传送IPv6 地址的接口。Solaris OS 实现的IPv6 不支持创建任意点传送地
址和任意点传送组。不过，Solaris IPv6 节点可以将通信流量发送到任意点传送组。
一种加密系统，消息的发送者和接收者使用不同的密钥对消息进行加密和解密。非对称密
钥用于为对称密钥加密建立一个安全的通道。Diffie-Hellman protocol（Diffie-Hellman 协
议）就是一种非对称密钥协议。该加密系统与symmetric key cryptography（对称密钥密码
学）相对。
为IP 数据报提供验证和完整性而不提供保密性的扩展头。
主机根据站点前缀和本地MAC地址自动配置其IPv6 地址的过程。
可以双向传输数据报的通道。
在移动IP 中，将内部地址与转交地址关联的内部代理表，其中包括剩余生命周期和有效时
间。
3DES
address pool（地
址池）
AES
agent
advertisement
（代理通告）
agent discovery
（代理搜索）
anycast address
（任意点传送地
址）
anycast group
（任意点传送
组）
asymmetric key
cryptography
（非对称密钥密
码学）
authentication
header（验证
头）
autoconfiguration
（自动配置）
bidirectional
tunnel（双向通
道）
binding table
（绑定表）
807
一种对称块加密算法，它采用32 位到448 位的可变长度密钥。其作者Bruce Schneier 声称
Blowfish 已针对密钥不经常更改的应用程序进行优化。
IPv4 网络地址，其主机部分的所有位全为0 (10.50.0.0) 或全为1 (10.50.255.255)。从本地网络
上的机器发送到广播地址的包将被传送到该网络中的所有机器。
请参见certificate authority, CA（证书颁发机构）。
移动节点的临时地址，它在移动节点连接到外部网络时用作通道退出点。
可信任的第三方组织或公司，可以颁发用于创建数字签名和公钥/私钥对的数字证书。CA
保证被授予唯一证书的个人的身份。
已由CA撤销的公钥证书的列表。CRL存储在CRL数据库中，该数据库通过IKE 进行维护。
一种不基于网络类（A、B 和C 类）的IPv4 地址格式。CIDR 地址的长度为32 位。它们使用
标准的IPv4 点分十进制表示法格式，并添加网络前缀。此前缀定义网络号和网络掩码。
在IPQoS 中，具有类似特征的一组网络流。可以在IPQoS 配置文件中定义类。
请参见IP datagram（IP 数据报）。
Data Encryption Standard（数据加密标准）。一种对称密钥加密方法，开发于1975 年，1981
年由ANSI 标准化为ANSI X.3.92。DES 使用56 位密钥。
也称为公钥密码学。Diffie 和Hellman 于1976 年开发的非对称密钥一致性协议。使用该协
议，两个用户可以在以前没有任何密钥的情况下通过不安全的介质交换密钥。IKE 协议需要
使用Diffie-Hellman。
Internet 工程任务组体系结构标准，用于在IP 网络上实现区分服务。主要模块是分类器、计
量器、标记器、调度程序和丢包器。IPQoS 实现分类器、计量器和标记器模块。diffserv 模
型在RFC 2475 An Architecture for Differentiated Services 中介绍。
附加到以电子方式传输的消息的数字代码，可唯一地标识发送者。
DOI 定义数据格式、网络通信流量交换类型和安全相关信息的命名约定。安全策略、加密
算法和加密模式都属于安全相关信息。
一个6 位值，包含在IP 数据包头的DS 字段中时指示必须转发包的方式。
Digital Signature Algorithm（数字签名算法）。一种公钥算法，采用大小可变（512 位到
4096 位）的密钥。美国政府标准DSS 可达1024 位。DSA的输入依赖于SHA-1。
Blowfish
broadcast
address（广播地
址）
CA
care-of address
（转交地址）
certificate
authority, CA
（证书颁发机
构）
certificate
revocation list,
CRL（证书撤销
列表）
classless
inter-domain
routing (CIDR)
address（无类域
间路由地址）
class（类）
datagram（数据
报）
DES
Diffie-Hellman
protocol
（Diffie-Hellman
协议）
diffserv model
（diffserv 模
型）
digital signature
（数字签名）
domain of
interpretation,
DOI（解释域）
DS codepoint,
DSCP（DS 代码
点）
DSA
词汇表
808 系统管理指南：IP 服务• 2006 年8 月
一种TCP/IP 协议栈，IPv4 和IPv6 均位于网络层，栈的其余部分是完全相同的。如果在安装
Solaris OS 的过程中启用IPv6，则主机将收到TCP/IP 的双栈版本。
请参见stateful packet filter（有状态包过滤器）。
为数据报提供完整性和保密性的扩展头。ESP 是IP 安全体系结构(IPsec) 的五个组件之一。
在第一个包中放置头和有效负荷的过程，随后将第一个包放置在第二个包的有效负荷中。
在检测到已修复接口后恢复对该接口的网络访问的过程。
将网络访问从出现故障的接口切换到正常物理接口的过程。网络访问除包括IPv6 单点传送
和多点传送通信外，还包括IPv4 单点传送、多点传送和广播通信。
检测一个接口或从接口到Internet 层设备的路径何时不再工作的过程。IP 网络多路径(IP
network multipathing, IPMP) 包括两种类型的故障检测：基于链路的故障检测（缺省）和基
于探测的故障检测（可选）。
IPQoS 配置文件中定义类特性的一组规则。IPQoS 系统选择符合其IPQoS 配置文件中过滤器
的任何通信流以进行处理。请参见packet filter（包过滤器）。
将组织的专用网络或内联网与Internet 隔离，从而防止它受到外部侵入的任何设备或软件。
防火墙可以包括包过滤、代理服务器和NAT（network address translation，网络地址转
换）。
在IPQoS 中，累积和记录有关通信流的信息的过程。通过在IPQoS 配置文件中定义
flowacct 模块的参数，可以建立流记帐。
移动节点访问的外部网络中的路由器或服务器。
除移动节点的内部网络之外的任何网络。
开始于内部代理并结束于移动节点的转交地址的通道。
可选的通道传送形式，可以由内部代理、外部代理和移动节点支持。GRE 允许将任何网络
层协议的包封装在任何其他（或相同）网络层协议的传送包内。
一个从文本字符串生成的数字。使用散列函数可以确保已传输的消息未被篡改。MD5 和
SHA-1 是单向散列函数。
请参见IP header（IP 数据包头）。
dual stack（双
栈）
dynamic packet
filter（动态包过
滤器）
encapsulating
security payload,
ESP（封装安全
有效负荷）
encapsulation
（封装）
failback（故障恢
复）
failover（故障转
移）
failure detection
（故障检测）
filter（过滤器）
firewall（防火
墙）
flow accounting
（流记帐）
foreign agent
（外部代理）
foreign network
（外部网络）
forward tunnel
（正向通道）
Generic Routing
Encapsulation,
GRE（通用路由
封装）
hash value（散
列值）
header（头）
词汇表
809
用于进行消息验证的加密散列方法。HMAC是密钥验证算法。HMAC与重复加密散列函数
（例如MD5 或SHA-1）以及机密共享密钥配合使用。HMAC的加密能力取决于基础散列函
数的特性。
为移动节点指定的IP 地址，可延用较长的时间。移动节点连接到Internet 或组织网络中的
任何其他位置时，其内部地址保持不变。
移动节点的内部网络中的路由器或服务器。
其网络前缀与移动节点内部地址的网络前缀匹配的网络。
用于标识分隔两个主机的路由器数量的度量。如果源主机和目标主机之间有三个路由器，
则这两个主机之间有四个跃点。
不执行包转发的系统。在安装Solaris OS 时，系统在缺省情况下成为主机，即系统无法转发
包。一个主机通常具有一个物理接口，尽管它可以具有多个接口。
Internet Control Message Protocol（Internet 控制消息协议）。用于处理错误和交换控制消
息。
发送到Internet 上的机器以要求响应的包。此类包通常称为"ping" 包。
Internet Key Exchange（Internet 密钥交换）。IKE 使得为IPsec security association, SA（安全
关联）提供经过验证的加密材料自动完成。
在Internet 上将数据从一台计算机发送到另一台计算机所用的方法或协议。
请参见Internet Protocol, IP（Internet 协议）、IPv4 和IPv6。
通过IP 传输的信息包。IP 数据报包含头和数据。头包括数据报的源地址和目标地址。头中
的其他字段有助于标识和重新组合目标中数据报附带的数据。
唯一标识Internet 包的二十字节数据。该头包括包的源地址和目标地址。头中存在一个选
项，该选项允许添加更多字节。
封装在IP 包中的IP 包的通道传送机制。
通信工具或介质，节点可以通过它在链路层上进行通信。链路层是紧邻IPv4/IPv6 层的下一
层。例如以太网（简单或桥接）或ATM网络。可以将一个或多个IPv4 子网号或前缀指定给
一个IP 链路。不能将一个子网号或前缀指定给多个IP 链路。在ATMLANE 中，一个IP 链
路便是一个仿真LAN。在使用ARP 时，ARP 协议的范围是单个IP 链路。
HMAC
home address
（内部地址）
home agent（内
部代理）
home network
（内部网络）
hop（跃点）
host（主机）
ICMP
ICMPecho
request packet
（ICMP回显请求
包）
IKE
Internet Protocol,
IP（Internet 协
议）
IP
IP datagram（IP
数据报）
IP header（IP 数
据包头）
IP in IP
encapsulation
（IP 嵌套封装）
IP link（IP 链
路）
词汇表
810 系统管理指南：IP 服务• 2006 年8 月
TCP/IP 经常被称为“栈”。这是指数据交换的客户机和服务器两端的所有数据传送所经过的
各层（TCP 层、IP 层，有时还经过其他层）。
一种软件功能，提供diffserv model（diffserv 模型）标准的实现以及虚拟LAN 的流记帐和
802.1D标记。使用IPQoS，可以为用户和应用程序提供不同级别的网络服务（如IPQoS 配
置文件中所定义）。
IP security（IP 安全性）。为IP 数据报提供保护的安全体系结构。
Internet Protocol, version 4（Internet 协议版本4）。IPv4 有时称为IP。此版本支持32 位地址
空间。
Internet Protocol, version 6（Internet 协议版本6）。IPv6 支持128 位地址空间。
管理security association, SA（安全关联）的方式。
管理员为network interface card, NIC（网络接口卡）上的存储区域（或密钥库）指定的名
称。密钥库名称也称为标记或标记ID。
紧邻IPv4/IPv6 的下一层。
在IPv6 中，用于在单个链路上寻址以实现诸如自动配置地址目的的标识。缺省情况下，本
地链路地址是从系统的MAC地址创建的。
只能在本地范围内（在子网内或在用户网络内）路由的单点传送地址。此地址还可以具有
本地或全局唯一性范围。
1. diffserv 体系结构和IPQoS 中的一个模块，它使用指示包转发方式的值标记IP 包的DS 字
段。在IPQoS 实现中，标记器模块是dscpmk。
2. IPQoS 实现中的一个模块，它使用用户优先级值标记以太网数据报的虚拟LAN 标记。用
户优先级值指示使用VLAN 设备在网络中转发数据报的方式。此模块称为dlcosmk。
一种重复加密散列函数，用于进行消息验证（包含数字签名）。该函数于1991 年由Rivest
开发。
MAC可确保数据的完整性，并验证数据的来源。MAC不能防止窃听。
diffserv 体系结构中的一个模块，用于度量特定类的通信流速率。IPQoS 实现包括以下两个
计量器：tokenmt 和tswtclmt。
内部代理、外部代理和移动节点支持的可选IPv4 嵌套通道传送形式。最小封装的系统开销
比IP 嵌套封装少8 或12 个字节。
IP stack（IP 栈）
IPQoS
IPsec
IPv4
IPv6
key management
（密钥管理）
keystore name
（密钥库名称）
link layer（链路
层）
link-local address
（本地链路地
址）
local-use address
（本地使用地
址）
marker（标记
器）
MD5
message
authentication
code,MAC（消息
验证代码）
meter（计量
器）
minimal
encapsulation
（最小封装）
词汇表
811
可以在使用其IP 内部地址保持所有现有通信的同时将其连接点从一个网络切换到另一个网
络的主机或路由器。
内部代理或外部代理。
内部地址与转交地址的关联以及该关联的剩余生命周期。
一对节点之间的安全措施（如验证算法）的集合，这些安全措施应用于在这两个节点之间
交换的移动IP 协议消息。
Maximum Transmission Unit（最大传输单位）。可以通过链路传输的大小，以八位字节表
示。例如，以太网的MTU是1500 个八位字节。
以特定方式标识一组接口的IPv6 地址。发送到多点传送地址的包将被传送到组中的所有接
口。IPv6 多点传送地址与IPv4 广播地址具有类似的功能。
具有多个物理接口且不执行包转发的系统。多宿主主机可以运行路由协议。
请参见network address translation（网络地址转换）。
对相邻节点的请求消息的响应，或一个节点发送未经请求的相邻节点通告以通告链路层地
址更改的过程。
一种IP 机制，使主机可以查找驻留在已连接链路上的其他主机。
由一个节点发送的请求，用于确定相邻节点的链路层地址。相邻节点请求还通过高速缓存
的链路层地址验证相邻节点是否仍然可以访问。
以user@domain 格式唯一标识移动节点的标识。
NAT。将一个网络中使用的IP 地址转换为另一个网络中已知的不同IP 地址的过程。用于限
制所需的全局IP 地址的数目。
作为网络接口的网络适配卡。一些NIC 可以具有多个物理接口，如qfe 卡。
在IPv6 中，启用了IPv6 的任何系统，而不管是主机还是路由器。
作为计量通信流量的结果而执行的操作。IPQoS 计量器具有三种结果：红色、黄色和绿
色，如在IPQoS 配置文件中所定义。
一种防火墙功能，可以配置为允许或禁止指定的包通过防火墙。
mobile node（移
动节点）
mobility agent
（移动代理）
mobility binding
（移动绑定）
mobility security
association（移
动安全关联）
MTU
multicast address
（多点传送地
址）
multihomed host
（多宿主主机）
NAT
neighbor
advertisement
（相邻节点通
告）
neighbor
discovery（相邻
节点搜索）
neighbor
solicitation（相
邻节点请求）
NetworkAccess
Identifier, NAI
（网络访问标识
符）
network address
translation（网
络地址转换）
network
interface card,
NIC（网络接口
卡）
node（节点）
outcome（结
果）
packet filter（包
过滤器）
词汇表
812 系统管理指南：IP 服务• 2006 年8 月
请参见IP header（IP 数据包头）。
通过通信线路作为一个单位传输的一组信息。包含IP header（IP 数据包头）以及payload
（有效负荷）。
通过包传输的数据。有效负荷不包括将包传输到其目标所需的头信息。
为通信类指定的优先级。PHB 指示该类的流相对其他通信类的优先顺序。
在PFS 中，不能使用保护数据传输的密钥派生其他密钥。此外，也不能使用保护数据传输
的密钥的源派生其他密钥。
PFS 仅适用于经过验证的密钥交换。另请参见Diffie-Hellman protocol（Diffie-Hellman 协
议）。
为物理接口指定的用于标识组的名称。该名称对于一个系统而言是本地名称。共享相同组
名称的多个物理接口构成一个物理接口组。
系统上连接到同一链路的一组物理接口。通过为组中的所有物理接口指定相同的（非空）
字符串名称，可以标识这些接口。
系统与链路的连接。此连接通常作为设备驱动程序以及网络接口卡(network interface card,
NIC) 实现。一些NIC 可以具有多个连接点，例如qfe。
Public Key Infrastructure（公钥基础结构）。由数字证书、证书颁发机构和其他注册机构组
成的系统，用于检验和验证Internet 事务中涉及的各方的有效性。
打开与物理接口名称关联的设备的行为。在检测接口时，将设置数据流以便IP 协议可以使
用该设备。在系统的当前会话期间，可以使用ifconfig 命令检测接口。
无法通过Internet 进行路由的IP 地址。无需Internet 连通性的主机上的内部网络可以使用专
用地址。这些地址在Address Allocation for Private Internets
(http://www.ietf.org/rfc/rfc1918.txt?number=1918) 中定义，通常称为“1918”地址。
请参见IP stack（IP 栈）。
位于客户机应用程序（如Web 浏览器）和另一个服务器之间的服务器。用于过滤请求－例
如，阻止对某些Web 站点的访问。
一种加密系统，它使用两种不同的密钥。公钥对所有用户公开。私钥只对消息接收者公
开。IKE 为IPsec 提供公钥。
在路由器中，通告主机有一个更好的第一跃点节点可以到达特定目标。
packet header
（包头）
packet（包）
payload（有效
负荷）
per-hop
behavior, PHB
（单跳行为）
perfect forward
secrecy, PFS（完
全转发保密）
physical interface
group name（物
理接口组名称）
physical interface
group（物理接
口组）
physical interface
（物理接口）
PKI
plumb（检测）
private address
（专用地址）
protocol stack
（协议栈）
proxy server（代
理服务器）
public key
cryptography
（公钥密码学）
redirect（重定
向）
词汇表
813
移动节点离开内部网络时使用其内部代理和外部代理注册其转交地址的过程。
检测NIC 或从NIC 到某个第3 层设备的路径在出现故障后何时开始正常工作的过程。
在IPsec 中，侵入者捕获了包的攻击。存储的包稍后将替换或重复原先的包。为了避免遭到
此类攻击，可以在包中包含一个字段，并使该字段在包的保护密钥的生命周期内递增。
开始于移动节点的转交地址并结束于内部代理的通道。
路由器通告其存在以及各种链路和Internet 参数的过程，要么是定期进行通告，要么是作为
对路由器请求消息的响应进行通告。
主机查找驻留在已连接链路上的路由器的过程。
主机请求路由器以立即（而非下一个预定时间）生成路由器通告的过程。
通常具有多个接口、运行路由协议并转发包的系统。如果只有一个接口的系统是PPP 链路
的端点，则可以将该系统配置为路由器。
获取数字签名和公钥密码系统的方法。该方法于1978 年首次由其开发者Rivest、Shamir 和
Adleman 介绍。
请参见security association, SA（安全关联）。
Security Associations Database（安全关联数据库）。指定密钥和加密算法的表。在数据的安
全传输中会使用这些密钥和算法。
请参见streams control transport protocol（流控制传输协议）。
指定从一个主机到另一个主机的安全属性的关联。
指定安全关联数据库(security associations database, SADB) 中接收者应该用来对收到的包进行
解密的行的一个整数。
指定应用于包的保护级别的数据库。SPD 对IP 通信流量进行过滤，以确定一个包是应该被
废弃、应该以明文方式进行传递还是应该用IPsec 进行保护。
一个元素，专门用于定义应用于特定类的包的条件，以便从网络流中选择该类通信流量。
可以在IPQoS 配置文件的过滤子句中定义选定器。
Secure Hashing Algorithm（安全散列算法）。该算法可以在长度小于264 的任何输入上运行
以生成消息摘要。SHA-1 算法是DSA的输入。
registration（注
册）
repair detection
（修复检测）
replay attack
（重放攻击）
reverse tunnel
（反向通道）
router
advertisement
（路由器通告）
router discovery
（路由器搜索）
router
solicitation（路
由器请求）
router（路由
器）
RSA
SA
SADB
SCTP
security
association, SA
（安全关联）
security
parameter index,
SPI（安全参数索
引）
security policy
database, SPD
（安全策略数据
库）
selector（选定
器）
SHA-1
词汇表
814 系统管理指南：IP 服务• 2006 年8 月
用于在单个站点上寻址的标识。
使用从远程位置定向到一个IP broadcast address（广播地址）或多个广播地址的ICMP echo
request packet（ICMP 回显请求包）以造成严重的网络拥塞或故障。
在计算机网络中窃听通常作为自动化程序的一部分，以便从线路中筛选出信息，如明文口
令。
请参见security policy database, SPD（安全策略数据库）。
请参见security parameter index, SPI（安全参数索引）。
使用一个IP 地址（该地址指示消息来自受信任主机）向计算机发送消息，以获取对该计算
机的未经授权的访问。要进行IP 电子欺骗，黑客必须先使用各种方法查找受信任主机的IP
地址，然后修改包头以便使这些包看起来像是来自该主机。
请参见IP stack（IP 栈）。
不用来传输数据通信流量的物理接口，除非某个其他物理接口出现故障。
可以监视活动连接的状态和使用获取的信息确定允许哪些网络包通过firewall（防火墙）的
packet filter（包过滤器）。通过跟踪和匹配请求与回复，有状态包过滤器可以筛选出与请求
不匹配的回复。
主机通过组合其MAC地址和IPv6 前缀（由本地IPv6 路由器通告）生成自己的IPv6 地址的
过程。
以与TCP 类似的方式提供面向连接的通信的传输层协议。此外，SCTP 还支持连接多宿主，
即连接的端点之一可以具有多个IP 地址。
一种加密系统，其中消息的发送者和接收者共享一个公用密钥。此公用密钥用于对消息进
行加密和解密。对称密钥用于对在IPsec 中大量传输的数据进行加密。DES 是对称密钥系
统。
TCP/IP（Transmission Control Protocol/Internet Protocol，传输控制协议/Internet 协议）是
Internet 的基本通信语言或协议。它还可以在专用网络（内联网或外联网）中用作通信协
议。
Triple-Data Encryption Standard（三重数据加密标准）。一种对称密钥加密方法。三重DES
要求密钥长度为168 位。三重DES 也写作3DES。
datagram（数据报）在被封装时跟踪的路径。请参见encapsulation（封装）。
site-local-use
address（站点本
地使用的地址）
smurf attack
（smurf 攻击）
sniff（探查）
SPD
SPI
spoof（电子欺
骗）
stack（栈）
standby（待机
接口）
stateful packet
filter（有状态包
过滤器）
stateless
autoconfiguration
（无状态自动配
置）
stream control
transport
protocol（流控
制传输协议）
symmetric key
cryptography
（对称密钥密码
学）
TCP/IP
Triple-DES（三重
DES）
tunnel（通道）
词汇表
815
标识启用了IPv6 的节点的单个接口的IPv6 地址。单点传送地址包括以下几部分：站点前
缀、子网ID 和接口ID。
一个实现服务类标记的3 位值，它定义如何在VLAN 设备网络中转发以太网数据报。
在IP 协议栈的以太网（数据链路）级别上提供通信流量转发的网络接口。
单个安全逻辑网络，使用跨公共网络（如Internet）的通道进行传输。
移动节点当前所连接的网络（移动节点的内部网络除外）。
正在访问外部代理的移动节点的列表。
unicast address
（单点传送地
址）
user-priority（用
户优先级）
virtual LAN
(VLAN) device
（虚拟LAN 设
备）
virtual private
network, VPN
（虚拟专用网
v络is）ited network
（已访问的网
络）
visitor list（访问
者列表）
词汇表
816 系统管理指南：IP 服务• 2006 年8 月
索引
数字和符号
> 提示符
ikeadm 命令模式, 505
ipseckey 命令模式, 47 5
“r” 命令, 在UNIX 中, 38
*（星号）, bootparams 数据库中的通配符, 223
3DES 加密算法
IPsec 和, 447
密钥长度, 47 6
6to4 地址
格式, 231
主机地址, 232
6to4 路由器配置
任务, 164
示例, 165
6to4 前缀
/etc/inet/ndpd.conf 通告, 165
各个部分的说明, 232
6to4 通道, 260-264
6to4 中继路由器, 166
包流, 262, 263
定义, 163
样例拓扑, 261
已知问题, 208
6to4 通告, 165
6to4 伪接口配置, 163
6to4 中继路由器
安全问题, 207, 262-264
通道配置任务, 166, 167
通道拓扑, 263
在6to4 通道中, 243
6to4relay 命令, 167
定义, 243
示例, 243
6to4relay 命令（续）
通道配置任务, 167
语法, 243
AA
类网络号
IPv4 地址空间的划分, 52
可用编号的范围, 53
说明, 229
-a 选项
ikecert certdb 命令, 514, 518
ikecert certrldb 命令, 530
ikecert 命令, 523
ipsecconf 命令, 458, 506
-A 选项
ikecert certlocal 命令, 510
ikecert 命令, 556
AAAA记录, 169, 264
acctadm 命令, 用于流记帐, 721, 785, 800
ACK 段, 41
action 语句, 803
Address 部分
NAI 标签和值, 666
Node-Default 标签和值, 667
标签和值, 664
移动IP 配置文件, 663, 664-668
专用地址, 664, 665
Advertisements 部分
标签和值, 660
移动IP 配置文件, 660-661
AdvertiseOnBcast 标签, 636, 661
AdvFrequency 标签, 636, 661
817
AdvInitCount 标签, 661
AdvLifetime 标签, 636, 640, 661
AdvLimitUnsolicited 标签, 661
AES 加密算法, IPsec 和, 447
AH, 请参见验证头(authentication header,AH)
ATM, IPMP 支持, 692
ATM支持, IPv6 over, 266
auth_algs 安全选项, ifconfig 命令, 488
A、B 和C 类网络号, 49, 52
BB
类网络号
IPv4 地址空间的划分, 52
可用编号的范围, 53
说明, 229
BaseAddress 标签, 636, 663
Blowfish 加密算法, IPsec 和, 447
BOOTP 协议
和DHCP, 269
通过DHCP服务支持客户机, 332
BOOTP 中继代理
配置
通过DHCP管理程序, 298
通过dhcpconfig -R, 302-303
跃点, 321
bootparams 数据库
对应的名称服务文件, 219
概述, 223
通配符项, 223
bootparams 数据库中的通配符, 223
C
C 类网络号
IPv4 地址空间的划分, 52
可用编号的范围, 53
说明, 229
-c 选项, in.iked 守护进程, 501
cert_root 关键字
IKE 配置文件, 519, 526
cert_trust 关键字
IKE 配置文件, 512, 525
ikecert 命令和, 556
Challenge 标签, 636, 662
class 子句, 在IPQoS 配置文件中, 7 50
class 子句, 在IPQoS 配置文件中, 804
CRC（cyclical redundancy check，循环冗余码校验）字
段, 42
CRL
ike/crls 数据库, 557
ikecert certrldb 命令, 557
从中心位置访问, 528
忽略, 521
列出, 528
D
-D 选项
ikecert certlocal 命令, 510
ikecert 命令, 556
defaultdomain 文件
本地文件模式配置, 88
说明, 210
为网络客户机模式删除, 91
defaultrouter 文件
本地文件模式配置, 88
说明, 210
自动路由器协议选择和, 97
deprecated 属性, ifconfig 命令, 680
DES 加密算法, IPsec 和, 447
DHCP服务
IP 地址
不可用, 343
删除, 343
添加, 337
为客户机保留, 345
修改属性, 340
IP 地址分配, 27 8
Solaris 网络引导和安装, 365-366
WANBoot 安装支持, 365
错误消息, 398, 407
对所提供的地址进行高速缓存的时间, 321
服务管理工具, 311-312
规划, 283
将网络添加到, 325
启动和停止
DHCP管理程序, 310
影响, 310
索引
818 系统管理指南：IP 服务• 2006 年8 月
DHCP服务（续）
启用和禁用
DHCP管理程序, 311
dhcpconfig 命令, 311
影响, 310
取消配置, 300
通过DHCP管理程序, 301
日志
概述, 314
事务, 314
网络接口监视, 323-324
网络配置概述, 27 8
网络拓扑, 284
修改服务选项, 312
支持BOOTP 客户机, 332
DHCP服务器
功能, 27 4
管理, 27 4
规划多台服务器, 292
配置
dhcpconfig 命令, 301-302
概述, 27 7
收集的信息, 285
通过DHCP管理程序, 296
配置数量, 285
启用以更新DNS, 318
数据存储, 27 4
选项, 312
DHCP管理程序, 321
dhcpconfig 命令, 321-322
选择, 287
疑难解答, 395
在调试模式下运行, 401
样例输出, 403-408
DHCP管理程序
菜单, 307
窗口和选项卡, 306
功能, 293
启动, 308
说明, 27 6
停止, 309
DHCP宏
处理顺序, 280
创建, 354
大小限制, 280
服务器宏, 297
DHCP宏（续）
概述, 27 9
客户机ID 宏, 280
客户机类宏, 27 9
类别, 27 9
配置, 336
缺省, 290
删除, 357
使用, 347
网络地址宏, 279, 297
网络引导, 366
修改, 350
语言环境宏, 297
自动处理, 27 9
DHCP客户机
不带租用期信息的网络信息, 367-368, 380
不正确的配置, 413
参数, 381-382
测试接口, 381
定义, 281
多个网络接口, 382
关闭, 37 8
管理, 380
禁用, 380
客户机ID, 336
逻辑接口, 382
名称服务, 320
启动, 377, 380
启用, 37 9
取消配置, 380
删除IP 地址, 381
生成主机名, 290
事件脚本, 389-393
释放IP 地址, 381
网络接口管理, 37 8
显示接口状态, 381
选项信息, 365
延长租用期, 380
疑难解答, 400
运行程序, 389-393
在调试模式下运行
输出样例, 402
在无盘客户机系统上, 366
主机名
指定, 383-384
DHCP命令行实用程序, 27 6
索引
819
DHCP命令行实用程序（续）
权限, 309
DHCP配置向导
对于BOOTP 中继代理, 299
说明, 296
DHCP事件, 389-393
DHCP数据存储
导出数据, 37 2
导入数据, 373-374, 374
概述, 27 4
修改导入数据, 374-375, 375-376
选择, 287
在服务器之间移动数据, 370-376
转换, 368-370
DHCP网络
从DHCP服务中删除, 330
使用, 322-331
添加到DHCP服务, 325
修改, 327-328
DHCP网络表
说明, 27 6
在服务器配置的过程中创建, 297
在取消配置时删除, 300
DHCP网络向导, 325
DHCP协议
Solaris 实现中的优点, 27 0
概述, 269
事件序列, 27 0
DHCP选项
创建, 360
概述, 27 8
删除, 364
使用, 358
属性, 358
修改, 362
DHCP租用
time, 288
保留的IP 地址, 336
策略, 288
动态和永久, 291
和保留的IP 地址, 292
类型, 337
失效日期, 337
协商, 289
dhcpagent 守护进程, 37 7
参数文件, 432
dhcpagent 守护进程（续）
调试模式, 401
dhcpconfig 命令
说明, 277, 417
dhcpinfo 命令, 说明, 418
dhcpmgr 命令, 说明, 418
dhcpsvc.conf 文件, 432
dhcptab 表, 297
概述, 27 5
说明, 432
在取消配置时删除, 300
自动读取, 321
dhcptags 文件, 433
dhtadm 命令
创建宏, 354
创建选项, 360
删除宏, 357
删除选项, 364
说明, 277, 417
修改宏, 350
修改选项, 362
Diffserv 模型
IPQoS 实现, 719, 721, 722
标记器模块, 7 21
分类器模块, 7 20
计量器模块, 7 21
流示例, 7 22
dladm 命令
删除聚合中的接口, 139
显示状态, 118
用于创建聚合, 136
用于检查聚合状态, 136
用于修改聚合, 138
dlcosmk 标记器, 7 21
VLAN 标记, 7 96
规划数据报转发, 7 38
用户优先级值, 表, 7 96
DS 代码点(DS codepoint, DSCP), 721, 723
AF 转发代码点, 724, 795
dscp_map 参数, 7 96
EF 转发代码点, 724, 795
PHB 和DSCP, 723
定义, 在IPQoS 配置文件中, 7 54
规划, 在QoS 策略中, 7 39
配置, 在Diffserv 路由器上, 773, 794
识别颜色配置, 7 93
索引
820 系统管理指南：IP 服务• 2006 年8 月
dscpmk 标记器, 7 21
调用, 在标记器action 语句中, 754, 759, 768, 771
规划包转发, 7 38
用于包转发的PHB, 794
DSS 验证算法, 556
E
encr_algs 安全选项, ifconfig 命令, 488
encr_auth_algs 安全选项, ifconfig 命令, 488
ESP, 请参见封装安全有效负荷(encapsulating security
payload, ESP)
/etc/bootparams 文件, 223
/etc/default/dhcpagent 文件, 381-382
/etc/default/dhcpagent 文件, 说明, 432
/etc/default/inet_type 文件, 191-192
DEFAULT_IP 值, 247
/etc/default/mpathd 文件, 7 10
/etc/defaultdomain 文件
本地文件模式配置, 88
说明, 210
为网络客户机模式删除, 91
/etc/defaultrouter 文件
本地文件模式配置, 88
说明, 210
/etc/dhcp/dhcptags 文件
说明, 433
转换项, 433
/etc/dhcp/eventhook 文件, 389
/etc/dhcp/inittab 文件
说明, 433
修改, 365
/etc/dhcp/interface.dhc 文件, 说明, 432
/etc/dhcp.interface 文件, 378, 381
/etc/dhcp.interface 文件, 说明, 432
/etc/ethers 文件, 224
/etc/hostname.interface file
手动配置, 105, 121
/etc/hostname.interface 文件
本地文件模式配置, 87
路由器配置, 110
说明, 210
/etc/hostname.interface 文件, 网络客户机模式的配
置, 90
/etc/hostname6.interface 文件, IPv6 通道, 258
/etc/hostname6.interface 文件, 手动配置接口, 144-146
/etc/hostname6.interface 文件, 语法, 241
/etc/hostname6.ip.6to4tun0 文件, 163
/etc/hostname6.ip.tun 文件, 161, 162
/etc/hosts 文件, 请参见/etc/inet/hosts 文件
/etc/inet/dhcpsvc.conf 文件, 297
/etc/inet/hosts 文件, 457
本地文件模式配置, 87
初始文件, 211, 212
多个网络接口, 212
格式, 211
回送地址, 211
添加子网, 85
网络客户机模式的配置, 90
主机名, 212
/etc/inet/ike/config 文件
cert_root 关键字, 519, 526
cert_trust 关键字, 512, 525
ignore_crls 关键字, 521
ikecert 命令和, 556
ldap-list 关键字, 530
PKCS #11 库项, 555
pkcs11_path 关键字, 523, 545, 546, 555
proxy 关键字, 530
sample, 499
use_http 关键字, 530
安全注意事项, 554
公钥证书, 519, 526
说明, 493, 554
预先共享的密钥, 499
在硬件上存放证书, 525
摘要, 495
传输参数, 549
自签名证书, 512
/etc/inet/ike/crls 目录, 557
/etc/inet/ike/publickeys 目录, 557
/etc/inet/ipaddrsel.conf 文件, 201, 242
/etc/inet/ipnodes 文件, 213, 264, 457
/etc/inet/ipsecinit.conf 文件, 484-486
/etc/inet/ipsecpolicy.conf 文件, 483-484
/etc/inet/ndpd.conf 文件, 150, 248
6to4 路由器通告, 165
6to4 通告, 231
创建, 150
关键字, 236-240, 248
接口配置变量, 237
索引
821
/etc/inet/ndpd.conf 文件（续）
临时地址配置, 154
前缀配置变量, 238
/etc/inet/netmasks 文件
编辑, 216, 217
路由器配置, 111
添加子网, 85
/etc/inet/networks 文件, 概述, 224
/etc/inet/protocols 文件, 226
/etc/inet/secret/ike.privatekeys 目录, 557
/etc/inet/services 文件, sample, 226
/etc/ipf/ipf.conf 文件, 请参见Solaris IP 过滤器
/etc/ipf/ipnat.conf 文件, 请参见Solaris IP 过滤器
/etc/ipf/ippool.conf 文件, 请参见Solaris IP 过滤器
/etc/netmasks 文件, 216
/etc/nodename 文件
说明, 210
为网络客户机模式删除, 90
/etc/nsswitch.conf 文件, 220, 223
更改, 221, 223
名称服务模板, 221
示例, 221
网络客户机模式的配置, 91
修改, 为支持IPv6, 264-265
由DHCP使用, 432
语法, 221
/etc/resolv.conf 文件，由DHCP使用, 432
ethers 数据库
对项进行检查, 206
对应的名称服务文件, 219
概述, 224
eventhook 文件, 389
expire_timer 关键字, IKE 配置文件, 549
F
-f 选项
in.iked 守护进程, 501
ipseckey 命令, 458
failover 选项, ifconfig 命令, 67 9
filter 子句, 在IPQoS 配置文件中, 752, 805
flowacct 模块, 721, 798
acctadm 命令, 用于创建流记帐文件, 800
参数, 7 98
流记录, 7 83
flowacct 模块（续）
流记录表, 7 99
流记录属性, 7 99
用于flowacct 的action 语句, 7 56
ForeignAgent 标签, 636, 644, 660, 661
ftp 程序, 37
匿名FTP 程序
说明, 37
G
General 部分
Version 标签, 660
移动IP 配置文件, 660
gethostbyname 命令, 265
getipnodebyname 命令, 265
GlobalSecurityParameters 部分
标签和值, 662
移动IP 配置文件, 661-662
group 参数
ifconfig 命令, 694, 706
H
HA-FAauth 标签, 636, 640, 662
HomeAgent 标签, 636, 644, 660, 661
hostconfig 程序, 91
hostname.interface 文件
路由器配置, 110
说明, 210
hostname.interface 文件, 在IPMP 中, 7 01
hostname6.interface file, 手动配置接口, 144-146
hostname6.interface 文件, 语法, 241
hostname6.ip.tun 文件, 161, 162
hosts.byaddr 映射, 169, 264
hosts.byname 映射, 169, 264
hosts.org_dir 表, 169
hosts 数据库, 211, 213
/etc/inet/hosts 文件
本地文件模式配置, 87
初始文件, 211, 212
多个网络接口, 212
格式, 211
回送地址, 211
索引
822 系统管理指南：IP 服务• 2006 年8 月
hosts 数据库, /etc/inet/hosts 文件（续）
路由器配置, 111
添加子网, 85
网络客户机模式的配置, 91
主机名, 212
对项进行检查, 206
对应的名称服务文件, 219
名称服务
格式, 218
影响, 212
名称服务的影响, 213
hosts 文件, 457
I
ICMP 路由器搜索(Router Discovery, RDISC) 协议, 228
ICMP 协议
调用, 使用ping, 189
说明, 36
显示统计信息, 17 9
消息, 用于相邻节点搜索协议, 251
ifconfig 命令, 258, 564-565
6to4 扩展, 164
auth_algs 安全选项, 488
deprecated 属性, 680
DHCP和, 418
encr_algs 安全选项, 488
encr_auth_algs 安全选项, 488
failover 选项, 67 9
group 参数, 694, 706
IPMP 扩展, 67 6
IPsec 安全选项, 487-488
IPv6 扩展, 244
standby 参数, 680, 701
test 参数, 694
检测接口, 104, 117, 120
检查STREAMS 模块的顺序, 691
控制DHCP客户机, 380
配置
IPv6 通道, 245-246
VLAN 设备, 109
设置通道, 448
输出格式, 17 5
输出中的信息, 17 5
说明, 17 4
ifconfig 命令（续）
显示IPMP 组, 7 03
显示接口状态, 174, 176-177, 681
用作疑难解答工具, 205
语法, 17 4
ignore_crls 关键字, IKE 配置文件, 521
IKE
crls 数据库, 557
daemon, 553
/etc/inet/ike/config 文件, 545, 546
ike.preshared 文件, 555
ike.privatekeys 数据库, 557
ikeadm 命令, 554
ikecert certdb 命令, 518
ikecert certrldb 命令, 530
ikecert tokens 命令, 547
ikecert 命令, 555
in.iked 守护进程, 553
ISAKMP SA, 492, 493
NAT 和, 537-539, 541-542
PKCS #11 库, 546, 556
publickeys 数据库, 557
RFC, 441
安全关联, 553
参考, 553
查找连接的硬件, 544
创建自签名证书, 510
概述, 491
检查策略是否有效, 501
阶段1 交换, 492
阶段1 密钥协商, 548-551
阶段2 交换, 493
密钥的存储位置, 495
密钥的硬件存储, 494
密钥管理, 492
命令说明, 495
配置
使用CA证书, 516-523
使用公钥证书, 509
使用预先共享的密钥, 498
为移动系统, 531-544
配置文件, 495
权限级别
更改, 506
检查, 503, 508
降低, 506
索引
823
IKE （续）
生成证书请求, 516
实现, 497
使用Sun Crypto 加速器1000 板, 544-546
使用Sun Crypto 加速器4000 板, 546-548
数据库, 555-557
添加自签名证书, 510
完全转发保密(perfect forward secrecy, PFS), 492
移动系统和, 531-544
硬件加速, 494
预先共享的密钥, 493
证书, 494
传输时间安排的疑难解答, 548-551
ike/config 文件, 请参见/etc/inet/ike/config 文件
ike_mode 关键字, ikeadm 命令, 506
ike.preshared 文件, 501, 555
sample, 507
ike.privatekeys 数据库, 557
ikeadm 命令
交互模式, 505
权限级别
更改, 506
检查, 503, 508
说明, 553, 554
ikecert certdb 命令
-a 选项, 514, 518
ikecert certlocal 命令
-kc 选项, 516
-ks 选项, 510
ikecert certrldb 命令, -a 选项, 530
ikecert tokens 命令, 547
ikecert 命令
-A 选项, 556
-a 选项, 523
-T 选项, 523, 556
-t 选项, 556
说明, 553, 555
in.dhcpd 守护进程, 27 7
调试模式, 401
说明, 417
in.iked 守护进程
-c 选项, 501
-f 选项, 501
激活, 553
权限级别
更改, 506
in.iked 守护进程, 权限级别（续）
检查, 503, 508
说明, 492
停止和启动, 458, 503
in.mpathd 守护进程
定义, 67 6
探测目标, 682
探测速率, 67 6
in.ndpd 守护进程
创建日志, 193-194
检查状态, 206
选项, 248
in.rarpd 守护进程, 83
in.rdisc 程序, 说明, 228
in.ripngd 守护进程, 150, 249
in.routed 守护进程, 97
创建日志, 192-193
空间节省模式, 228
说明, 228
in.telnet 守护进程, 37
in.tftpd 守护进程
打开, 89
说明, 83
inet_type 文件, 191-192
inetd 守护进程
IPv6 服务和, 249-251
管理服务, 217
inetd 守护进程, 检查状态, 206
inetd 守护进程
启动的服务, 97
interface, 定义, 116
Internet, 域名注册, 33
Internet 安全关联和密钥管理协议(Internet Security
Association and Key Management Protocol, ISAKMP)
SA
存储位置, 555
说明, 493
Internet 编号分配机构(Internet Assigned Numbers
Authority, IANA), 注册服务, 52
Internet 草案
定义, 43
使用IPsec 的SCTP（流控制传输协议）, 441
Internet 层(TCP/IP)
ARP 协议, 36
ICMP 协议, 36
IP 协议, 35
索引
824 系统管理指南：IP 服务• 2006 年8 月
Internet 层(TCP/IP) （续）
包生命周期
发送主机, 41
接收主机, 42
说明, 35
Internet 协议(Internet Protocol, IP), 617
InterNIC
注册服务
域名注册, 33
IP 安全体系结构, 请参见IPsec
IP 地址
BaseAddress 标签, 663
DHCP
不可用, 343
错误, 398
任务, 334
删除, 343
属性, 335
添加, 337
为客户机保留, 345
修改属性, 340
IP 协议功能, 35
设计寻址方案, 49, 55
使用DHCP分配, 289
网络接口和, 54
网络类
网络号管理, 49
显示所有接口的地址, 176-177
移动节点, 619, 627
源IP 地址, 629, 630
转交地址, 623
子网问题, 216
IP 过滤器, 请参见Solaris IP 过滤器
IP 链路, 在IPMP 术语中, 67 6
IP 数据报
IP 数据包头, 41
IP 协议格式化, 35
UDP协议功能, 37
包处理, 41
使用IPsec 保护, 440
IP 网络多路径(IP network multipathing, IPMP), 请参
见IPMP
IP 协议
检查主机连接, 189, 190
说明, 35
显示统计信息, 17 9
IP 转发
在IPv4 VPN 中, 463, 466
在IPv6 VPN 中, 469, 472
在VPN 中, 449
ipaddrsel.conf 文件, 201, 242
ipaddrsel 命令, 201, 242-243
ipf.conf 文件, 565-567
请参见Solaris IP 过滤器
ipf 命令
另请参见Solaris IP 过滤器
-6 选项, 570-571
-a 选项, 585-586
-D 选项, 582-583
-E 选项, 576-577
-F 选项, 579-580, 585-586, 586, 590
-f 选项, 576-577, 585-586, 587, 588
-I 选项, 588, 590
-s 选项, 588-590
从命令行附加规则, 587
ipfstat 命令, 596-597
另请参见Solaris IP 过滤器
-6 选项, 570-571
-I 选项, 585
-i 选项, 584-585, 585
-o 选项, 584-585, 585
-s 选项, 597-598
-t 选项, 596-597
ipgpc 分类器, 请参见分类器模块
ipmon 命令
另请参见Solaris IP 过滤器
-a 选项, 601
-F 选项, 601-602
IPv6 和, 570-571
-o 选项, 601
IPMP
ATM支持, 692
dynamic reconfiguration（动态重新配置）, 678,
685-687
hostname.interface 文件, 7 01
IP 链路, 类型, 67 6
IPMP 配置文件, 710-711
测试地址, 679-680
多路径组定义
请参见IPMP 组
负荷分配, 67 5
概述, 675-678
索引
825
IPMP （续）
故障检测
定义, 67 7
故障检测时间, 682
故障转移
定义, 67 7
管理, 703-706
基本要求, 67 8
基于链路的故障检测, 681-682
基于探测器的故障检测, 682
接口配置
待机接口, 680-681, 700-701
活动-待机, 681
活动-活动, 681
接口配置的类型, 680
令牌环支持, 692
目标系统, 67 7
手动配置, 698
在脚本中配置, 698-699
配置
检验MAC地址的唯一性, 692-694
验证MAC地址的唯一性, 124-125
软件组件, 67 6
数据地址, 67 8
探测器流量, 67 9
替换接口, DR, 706-708
替换系统引导时不存在的接口, 708-710
修复检测, 67 7
以太网支持, 692
支持的网络驱动程序, 681
重新引导后保留配置, 696, 701
术语, 676-678
组配置
规划IPMP 组, 691-692
配置任务, 694-698
疑难解答, 697
IPMP 的要求, 67 8
IPMP 守护进程in.mpathd, 67 6
IPMP 组
从组中删除接口, 704-705
规划任务, 691-692
将接口添加到组, 7 04
配置, 694-698
删除接口, 通过DR, 686
添加接口, 通过DR, 686
为单个接口配置组, 702-703
IPMP 组（续）
显示组成员关系, 703-704
引导时不存在的接口的影响, 687
在组之间移动接口, 705-706
组故障, 683
组配置疑难解答, 697
组中的NIC 速度, 67 7
ipnat.conf 文件, 567-568
请参见Solaris IP 过滤器
ipnat 命令
另请参见Solaris IP 过滤器
-C 选项, 580
-F 选项, 580, 591-592
-f 选项, 576-577, 592-593
-l 选项, 591
-s 选项, 598-599
从命令行附加规则, 592-593
ipnodes.byaddr 映射, 169
ipnodes.byname 映射, 169
ipnodes.org_dir 表, 169
ipnodes 文件, 213, 457
ippool.conf 文件, 568-569
请参见Solaris IP 过滤器
ippool 命令
另请参见Solaris IP 过滤器
-F 选项, 594
-f 选项, 594-595
IPv6 和, 570-571
-l 选项, 593
-s 选项, 599
从命令行附加规则, 594-595
IPQoS, 715
Diffserv 模型实现, 7 19
IPQoS 网络中的路由器, 7 7 3
QoS 策略规划, 7 31
VLAN 设备支持, 7 96
错误消息, 7 7 8
功能, 7 16
配置规划, 7 27
配置示例, 741-742
配置文件, 744, 800
action 语句语法, 803
class 子句, 7 50
filter 子句, 7 52
IPQoS 模块列表, 804
标记器action 语句, 7 54
索引
826 系统管理指南：IP 服务• 2006 年8 月
IPQoS, 配置文件（续）
初始action 语句, 803
初始action 语句, 7 49
语法, 801
启用了IPv6 的网络的策略, 7 8
手册页, 7 17
通信管理功能, 7 19
通信流量管理功能, 7 18
统计信息生成, 7 86
网络示例, 7 44
相关的请求注解文档, 7 16
消息日志, 7 7 7
支持的网络拓扑, 728, 729, 730
IPQoS 错误消息, 7 7 8
IPQoS 的统计信息
启用基于类的统计信息, 804
启用全局统计信息, 750, 804
生成, 通过kstat 命令, 7 86
IPQoS 的网络示例, 7 44
IPQoS 的网络拓扑, 7 28
包含启用了IPQoS 的防火墙的LAN, 730
包含启用了IPQoS 的服务器场的LAN, 728
包含启用了IPQoS 的主机的LAN, 728
配置示例, 7 41
IPQoS 配置文件示例
VLAN 设备配置, 7 97
高级Web 服务器, 7 45
尽力服务Web 服务器, 7 48
应用程序服务器, 7 60
识别颜色段, 7 92
IPQoS 网络中的虚拟LAN (virtual LAN, VLAN) 设
备, 7 96
ipqosconf, 7 44
ipqosconf 命令
列出当前配置, 7 7 7
命令选项, 806
应用配置, 776, 777
IPQoS的syslog.conf 文件日志, 7 7 7
IPsec
/etc/hosts 文件, 457
/etc/inet/ipnodes 文件, 457
/etc/inet/ipsecpolicy.conf 文件, 483-484
ifconfig 命令
安全选项, 487-488
配置VPN, 465, 471
设置策略, 483-484
IPsec （续）
in.iked 守护进程, 445
ipsecalgs 命令, 447, 486
ipsecconf 命令, 448, 483-484
ipsecinit.conf 文件, 448
保护Web 服务器, 460
配置, 457
说明, 484-486
跳过LAN, 468, 487
ipseckey 命令, 445, 486-487
NAT 和, 450-451
RBAC 和, 456
RFC, 440
route 命令, 467, 472
SCTP 协议和, 451, 456
snoop 命令, 489
Solaris 加密框架和, 486
安全参数索引(security parameter index, SPI), 445
安全策略数据库(security policy database, SPD), 440,
441, 483
安全关联(security association, SA), 445
安全关联数据库(security associations database,
SADB), 440, 486
安全机制, 440
安全角色, 481-482
安全协议, 440, 445
保护
VPN, 461-468
Web 服务器, 459-460
包, 440
移动系统, 531-544
保护策略, 448
保护机制, 445-447
保证通信安全, 456
策略命令, 483-484
策略文件, 484-486
封装安全有效负荷(encapsulating security payload,
ESP), 445-447
封装数据, 446
概述, 440
获取密钥的随机数, 473-474
激活, 451
加密实用程序
IKE, 492
ipseckey 命令, 486-487
加密算法, 447
索引
827
IPsec （续）
检验包保护, 479-481
临时策略文件, 451
密钥管理, 445
命令, 列表, 451-452
配置, 448, 483-484
配置文件, 451-452
区域和, 451, 456
设置策略
临时, 483-484
永久, 484-486
实现, 455
实用程序的扩展
ifconfig 命令, 487-488
snoop 命令, 489
手动创建SA, 474-479
算法源, 486
替换安全关联(security association, SA), 475
添加安全关联(security association, SA), 458
跳过, 448, 459
通道, 449
通道模式, 448-449
外发包过程, 442
显示策略, 461
虚拟专用网络(virtual private network, VPN), 449
虚拟专用网络(virtual private networks,
VPN), 461-468
验证算法, 447
移动IP, 631
用于IPv4 VPN, 461-468
用于IPv6 VPN, 468-473
指定
加密算法, 487
验证算法, 487
术语, 441-442
传入包过程, 442
传输模式, 448-449
组件, 440
ipsecconf 命令
-a 选项, 458, 506
-f 选项, 458
安全注意事项, 458, 485-486
配置IPsec 策略, 483-484
说明, 451
显示IPsec 策略, 459-460, 461
用途, 448
ipsecinit.conf 文件
sample, 484
安全注意事项, 485-486
保护Web 服务器, 460
配置通道选项, 488
说明, 451
跳过LAN, 468
用途, 448
ipseckey 命令
安全注意事项, 487
交互模式, 47 5
说明, 452, 486-487
用途, 445
ipseckeys 文件, 存储IPsec 密钥, 452
ipsecpolicy.conf 文件, 483-484
IPv4 地址
部分, 53
点分十进制格式, 51
格式, 51
可用编号的范围, 52
网络号的符号名称, 217
网络类, 52
A类, 229
B 类, 229
C 类, 229
寻址方案, 52
应用网络掩码, 215, 216
指定IANA网络号, 52
子网号, 53
子网问题, 215
IPv6
6to4 地址, 231
6to4 路由器的已知问题, 208
ATM支持, 266
DNSAAAA记录, 169
DNS 支持准备, 7 8
/etc/inet/ipnodes 文件, 264
in.ndpd 守护进程, 248
in.ripngd 守护进程, 249
nslookup 命令, 17 0
安全注意事项, 7 9
本地链路地址, 253, 255
本地站点地址, 7 2
地址自动配置, 248, 252
对ifconfig 命令进行的扩展, 244
对常见的IPv6 问题进行疑难解答, 206-208
索引
828 系统管理指南：IP 服务• 2006 年8 月
IPv6 （续）
多点传送地址, 233-234, 255
和Solaris IP 过滤器, 570-571
监视通信, 200
检查in.ndpd 的状态, 206
扩展头字段, 235
临时地址配置, 153-156
路由, 255
路由器请求, 251, 252
路由器搜索, 248, 254
路由器通告, 251, 252, 254, 256
配置通道, 161
启用, 在服务器上, 159-160
缺省地址选择策略表, 242
确定下一个跃点, 7 1
数据包头的格式, 234-235
双栈协议, 7 6
添加
DNS 支持, 168
将地址添加到NIS 中, 169
通道, 258-260
无状态地址自动配置, 252, 253
相邻节点不可访问性检测, 71, 255
相邻节点请求, 251
相邻节点请求和不可访问性, 253
相邻节点搜索协议, 251-255
协议概述, 252
寻址计划, 80
与IPv4 进行比较, 62, 254-255
重定向, 71, 251, 255
重复地址检测, 7 1
子网, 65
自动通道, 257
IPv6 本地链路地址, 通过IPMP, 680
IPv6 地址
本地链路, 69
单点传送, 68-69
地址解析, 7 0
地址自动配置, 70, 71-72
多点传送, 7 0
接口ID, 69
任意点传送, 7 0
唯一性, 253
在VPN 示例中使用, 468-473
IPv6 功能, 相邻节点搜索功能, 7 0
K
-kc 选项
ikecert certlocal 命令, 510, 516, 556
Key 标签, 637, 641, 664
KeyDistribution 标签, 636, 662
-ks 选项
ikecert certlocal 命令, 510, 556
kstat 命令, 用于IPQoS, 786
L
-l 选项
ikecert certdb 命令, 515
ipsecconf 命令, 461
ldap-list 关键字, IKE 配置文件, 530
M
-m 选项, ikecert certlocal 命令, 510
MAC地址
IPMP 要求, 67 8
IPv6 接口ID, 69
检验唯一性, 692-694
验证唯一性, 124-125
映射到ethers 数据库中的IP, 224
用于DHCP客户机ID, 280
MaxClockSkew 标签, 636, 662
MD5 验证算法, 密钥长度, 47 6
metaslot, 密钥存储, 439
mipagent.conf 配置文件, 634, 635, 652, 668
配置, 634
mipagent_state 文件, 67 0
mipagent 守护进程, 634, 652, 670
mipagentconfig 命令
命令说明, 668
配置移动代理, 668
修改
Address 部分, 642
Advertisements 部分, 640
General 部分, 639
GlobalSecurityParameters 部分, 640
Pool 部分, 641
SPI 部分, 641
配置文件, 639
索引
829
mipagentstat 命令
显示代理状态, 646-648
移动代理状态, 668
MN-FAauth 标签, 636, 662
mpathd 文件, 710-711
N
NAT
IPsec 的限制, 450-451
NAT 规则
查看, 591
附加, 592-593
查看统计, 598-599
概述, 567-568
配置规则, 567-568
取消激活, 580
删除NAT 规则, 591-592
使用IPsec 和IKE, 537-539, 541-542
NAT（网络地址转换）, 符合RFC（注释请求）, 439
ndd 命令, 查看pfil 模块和, 600
ndpd.conf 文件
6to4 通告, 165
创建, 在IPv6 路由器上, 150
ndpd.conf 文件
关键字列表, 236-240
接口配置变量, 237
ndpd.conf 文件
临时地址配置, 154
ndpd.conf 文件
前缀配置变量, 238
/net/if_types.h 文件, 692
netmasks 数据库, 214
/etc/inet/netmasks 文件
编辑, 216, 217
路由器配置, 111
添加子网, 85
对应的名称服务文件, 219
更新, 为路由器, 111
添加子网, 85, 88
网络掩码
创建, 215, 216
说明, 215
应用到IPv4 地址, 215, 216
子网设置, 215
netstat 命令
-a 选项, 184
-f 选项, 184
inet 选项, 184
inet6 选项, 184
IPv6 扩展, 247
-r 选项, 188-189
每个协议的统计信息显示, 17 9
说明, 17 8
显示已知路由的状态, 188-189
移动IP 扩展, 67 0
语法, 17 8
运行软件检查, 206
networks 数据库
对应的名称服务文件, 220
概述, 224
NFS 服务, 38
NIC
请参见网络接口卡(network interface card, NIC)
为Solaris IP 过滤器指定, 577-579
NIS
添加IPv6 地址, 169
网络数据库, 56, 218
选择作为名称服务, 56
域名注册, 33
NIS+
和DHCP数据存储, 395-398
选择作为名称服务, 56
nisaddcred 命令, 和DHCP, 398
nischmod 命令, 和DHCP, 397
nisls 命令, 和DHCP, 397
nisstat 命令, 和DHCP, 396
nodename 文件
说明, 210
为网络客户机模式删除, 90
nslookup 命令, 265
IPv6, 170
nsswitch.conf 文件, 220, 223
更改, 221, 223
名称服务模板, 221
示例, 221
网络客户机模式的配置, 91
修改, 为支持IPv6, 264-265
语法, 221
索引
830 系统管理指南：IP 服务• 2006 年8 月
O
od 命令, 501
/opt/SUNWconn/lib/libpkcs11.so 项, 在ike/config 文
件中, 555
P
-p 选项
in.iked 守护进程, 505, 508
params 子句
定义全局统计信息, 750, 805
语法, 805
针对flowacct action, 7 57
针对标记器action, 7 54
针对计量action, 7 7 1
PF_KEY 套接字接口
IPsec, 445, 452
pfil 模块, 57 0
查看统计, 600
PFS, 请参见完全转发保密(perfect forward secrecy, PFS)
ping 命令, 190
-s 选项, 190
说明, 189
为支持IPv6 而进行的扩展, 247
语法, 189
正在运行, 190
PKCS #11 库
用于IKE 的硬件, 546
在ike/config 文件中, 555
指定路径, 556
pkcs11_path 关键字
IKE 配置文件, 546
ikecert 命令和, 556
使用, 523, 545
说明, 555
pntadm 命令
示例, 334
说明, 277, 417
在脚本中使用, 418
Pool 标签, 638, 642, 666, 667
Pool 部分
标签和值, 663
移动IP 配置文件, 662-663
PPP（点对点协议）链路
疑难解答
包流, 197
PrefixFlags 标签, 636, 661
protocols 数据库
对应的名称服务文件, 219
概述, 226
proxy 关键字, IKE 配置文件, 530
publickeys 数据库, 557
Q
-q 选项, in.routed 守护进程, 228
QoS 策略, 7 18
策略组织模板, 7 31
创建过滤器, 7 34
规划任务列表, 7 31
实现, 在IPQoS 配置文件中, 7 43
R
RARP 协议
RARP 服务器配置, 88
检查以太网地址, 206
说明, 83
以太网地址映射, 224
RBAC
IPsec 和, 456
和DHCP命令, 27 7
RDISC
说明, 39, 228
RegLifetime 标签, 636, 661
ReplayMethod 标签, 637, 664
retry_limit 关键字, IKE 配置文件, 549
retry_timer_init 关键字, IKE 配置文件, 549
retry_timer_max 关键字, IKE 配置文件, 549
ReverseTunnel 标签, 636, 661
ReverseTunnelRequired 标签, 636, 661
rlogin 命令, 包处理, 40
route 命令
inet6 选项, 247
IPsec, 467, 472
routeadm, IPv4 路由器配置, 111
索引
831
routeadm 命令
IP 转发, 111, 463
IPv6 路由器配置, 150
打开动态路由, 112
多宿主主机, 112
启用动态路由, 97
使用IPsec 配置VPN, 468
rpc.bootparamd 守护进程, 83
RSA加密算法, 556
S
-S 选项, in.routed 守护进程, 228
-s 选项, ping 命令, 190
SCTP 协议
IPsec 的限制, 451
IPsec 和, 456
说明, 36
添加启用SCTP 的服务, 98-102
显示统计信息, 17 9
显示状态, 182
SCTP（流控制传输协议）协议,
/etc/inet/dhcpsvc.conf 文件中的服务, 226
services 数据库
对应的名称服务文件, 219
概述, 226
更新, 为SCTP, 99
Size 标签, 636, 663
SNMP（Simple Network Management Protocol，简单网
络管理协议）, 38
snoop 命令
ip6 协议关键字, 247
查看受保护的包, 489
监视DHCP流量, 402
样例输出, 408
监视IPv6 通信, 200
检查包流, 197
检查服务器和客户机之间的包, 199-200
检验包保护, 479-481
为支持IPv6 而进行的扩展, 247
显示包内容, 197
移动IP 扩展, 67 1
softtoken 密钥库
使用metaslot 存储密钥, 439, 555
Solaris IP 过滤器
/etc/ipf/ipf.conf 文件, 604
/etc/ipf/ipf6.conf 文件, 570-571
/etc/ipf/ipnat.conf 文件, 604
/etc/ipf/ippool.conf 文件, 604
ifconfig 命令, 564-565
ipf.conf 文件, 565-567
ipf 命令, 576-577
-6 选项, 570-571
ipf6.conf 文件, 570-571
ipfstat 命令
-6 选项, 570-571
ipmon 命令
IPv6 和, 570-571
ipnat.conf 文件, 567-568
ipnat 命令, 576-577
ippool.conf 文件, 568-569
ippool 命令, 593
IPv6 和, 570-571
IPv6, 570-571
NAT 规则
查看, 591
附加, 592-593
NAT 和, 567-568
pfil 模块, 57 0
包过滤概述, 565-567
查看
NAT 统计, 598-599
pfil 统计, 600
地址池统计, 599
日志文件, 601
状态表, 596-597
状态统计, 597-598
创建配置文件, 604
地址池
查看, 593
附加, 594-595
删除, 594
地址池和, 568-569
概述, 562
管理包过滤规则集, 584-590
规则集
inactive, 585
附加到非活动的, 588
附加到活动的, 587
活动的, 584-585
索引
832 系统管理指南：IP 服务• 2006 年8 月
Solaris IP 过滤器, 规则集（续）
激活不同的, 585-586
删除, 586
删除非活动的, 590
在两者之间切换, 588-590
规则集和, 565-569
将记录的包保存到文件中, 602-603
开放源代码信息, 562
配置文件示例, 565
启用, 574-576
清除日志文件, 601-602
取消激活, 582-583
NAT, 580
在NIC 上, 581-582
删除
NAT 规则, 591-592
使用指导, 564-565
指定NIC, 577-579
重新启用, 576-577
Solaris 加密框架, IPsec, 以及, 486
SPI 标签, 641, 665, 666, 667
SPI 部分
标签和值, 664
移动IP 配置文件, 663-664, 664, 665
standby 参数
ifconfig 命令, 680, 701
Sun Crypto 加速器1000 板, 494
用于IKE, 544-546
Sun Crypto 加速器4000 板
存储IKE 密钥, 494
加快IKE 计算, 494
用于IKE, 546-548
svcadm 命令
禁用网络服务, 464, 470
SYN 段, 41
sys-unconfig 命令
和DHCP客户机, 379, 380
T
-t 选项
ikecert certlocal 命令, 510
ikecert 命令, 556
inetd 守护进程, 97
-T 选项
ikecert 命令, 523, 556, 557
TCP/IP 网络
IPv4 网络配置任务, 86
IPv4 网络拓扑, 84
配置
nsswitch.conf 文件, 220, 223
本地文件模式, 88
标准TCP/IP 服务, 97
网络客户机, 90
网络配置服务器的设置, 88
网络数据库, 218, 220, 223
先决条件, 81
主机配置模式, 82, 84
配置文件, 209
/etc/defaultdomain 文件, 210
/etc/defaultrouter 文件, 210
/etc/hostname.interface 文件, 210
/etc/nodename 文件, 90, 210
hosts 数据库, 211, 213
netmasks 数据库, 214
使用ESP 保护, 446
网络号, 33
疑难解答, 200
ifconfig 命令, 17 4
netstat 命令, 17 8
ping 命令, 189, 190
包丢失, 190
第三方诊断问题, 205
软件检查, 205
显示包内容, 197
一般方法, 205
主机配置模式, 82, 84
本地文件模式, 83
混合配置, 84
网络客户机模式, 83, 84
网络配置服务器, 83
样例网络, 84
TCP/IP 协议套件, 33
OSI 参考模型, 33, 34
TCP/IP 协议体系结构模型, 34, 39
Internet 层, 35
数据链路层, 35
物理网络层, 35
应用层, 34, 37, 39
传输层, 35, 36
索引
833
TCP/IP 协议套件（续）
标准服务, 97
概述, 33
内部跟踪支持, 42
数据通信, 39, 42
数据封装, 39, 42
双栈协议, 7 6
显示统计信息, 17 9
详细信息, 42
FYI, 43
书籍, 42
TCP 包装, 启用, 102
TCP 协议
/etc/inet/services 文件中的服务, 226
段, 41
建立连接, 41
说明, 36
显示统计信息, 17 9
Telnet 协议, 37
test 参数, ifconfig 命令, 694
tftp 协议
说明, 37
网络配置服务器引导协议, 83
/tftpboot 目录创建, 89
tokenmt 计量器, 7 21
单速率计量器, 7 92
计量速率, 7 92
双速率计量器, 7 92
速率参数, 7 92
识别颜色配置, 721, 792
tokens 参数, ikecert 命令, 556
traceroute 命令
定义, 195-196
跟踪路由, 196
为支持IPv6 而进行的扩展, 248
tswtclmt 计量器, 721, 794
计量速率, 7 94
tun 模块, 258
Type 标签, 642, 665, 666, 667
U
UDP协议
/etc/inet/services 文件中的服务, 226
UDP包处理, 41
UDP协议（续）
说明, 37
显示统计信息, 17 9
UNIX “r” 命令, 38
use_http 关键字, IKE 配置文件, 530
/usr/sbin/6to4relay 命令, 167
/usr/sbin/in.rdisc 程序, 说明, 228
/usr/sbin/in.routed 守护进程
空间节省模式, 228
说明, 228
/usr/sbin/inetd 守护进程
检查inetd 的状态, 206
启动的服务, 97
/usr/sbin/ping 命令, 190
说明, 189
语法, 189
正在运行, 190
V
-V 选项, snoop 命令, 489
/var/inet/ndpd_state.interface 文件, 248
Version 标签, 635, 660
VLAN
Solaris 10 1/06 中支持的接口, 129
VLAN ID (VID), 107, 127-128
标记头格式, 107
定义, 107-109, 126-132
规划, 在Solaris 10 1/06 中, 129
交换机配置, 127-128
静态
配置, 在Solaris 10 3/05 中, 107-109
配置, 在Solaris 10 1/06 中, 126-132
配置, 在Solaris 10 3/05 中, 107-109
拓扑, 126-128
物理附加点(physical point of attachment, PPA), 108,
128
虚拟设备, 108, 130
样例方案, 126
VPN, 请参见虚拟专用网络(virtual private network,
VPN)
索引
834 系统管理指南：IP 服务• 2006 年8 月
W
Web 服务器
配置IPQoS, 745, 748, 757, 759
使用IPsec 保护, 459-460
安
安全
IKE, 553
IPsec, 440
安全参数索引(security parameter index, SPI)
构造, 47 4
密钥大小, 47 4
说明, 445
移动IP, 627, 663
安全策略
ike/config 文件(IKE), 452
IPsec, 448
ipsecinit.conf 文件(IPsec), 457, 484-486
安全策略数据库(security policy database, SPD)
IPsec, 440, 441
配置, 483
安全关联, 移动IP, 627
安全关联(security association, SA)
IKE, 553
IPsec, 445, 458
IPsec 数据库, 486
ISAKMP, 492
获取密钥, 473-474
手动创建, 474-479
刷新IPsec SA, 475
随机数生成, 493
替换IPsec SA, 475
添加IPsec, 458
安全关联数据库(security associations database,
SADB), 486
安全协议
IPsec 保护机制, 445
安全注意事项, 446
封装安全有效负荷(encapsulating security payload,
ESP), 446-447
概述, 440
验证头(authentication header, AH), 446
安全注意事项
6to4 中继路由器问题, 207
安全注意事项（续）
ike/config 文件, 554
ipsecconf 命令, 485-486
ipsecinit.conf 文件, 485-486
ipseckey 命令, 487
ipseckeys 文件, 47 8
安全协议, 446
封装安全有效负荷(encapsulating security payload,
ESP), 446
配置
IKE 以查找硬件, 523
IKE 传输参数, 549
IKE，使用预先共享的密钥, 499
IKE，使用证书, 510
IPsec, 457
启用了IPv6 的网络, 7 9
验证头(authentication header, AH), 446
移动IP, 630-631
已锁定的套接字, 485
预先共享的密钥, 493
绑
绑定表
内部代理, 646, 648
移动IP, 668
包
包
IP 协议功能, 35
IPv6 数据包头的格式, 234-235
UDP, 41
保护
使用IKE, 492
使用IPsec, 442, 445-447
外发包, 442
传入包, 442
丢弃或丢失, 36, 190
分段, 35
检查流, 197
检验保护, 479-481
生命周期, 40, 42
Internet 层, 41
索引
835
包, 生命周期（续）
接收主机处理, 42
数据链路层, 41, 42
物理网络层, 41, 42
应用层, 40
传输层, 40, 41
数据封装, 40, 41
说明, 39
头
IP 数据包头, 41
TCP 协议功能, 36
显示内容, 197
传送
TCP/IP 栈, 39, 42
路由器, 59, 60
包过滤
附加
规则到非活动集, 588
规则到活动集, 587
管理规则集, 584-590
激活不同的规则集, 585-586
配置, 565-567
取消激活, 579-580
删除
非活动规则集, 590
活动规则集, 586
在规则集之间切换, 588-590
指定NIC, 577-579
包流
通过通道, 262
中继路由器, 263
包流, IPv6
6to4 和本地IPv6, 263
通过6to4 通道, 262
包头
IP 数据包头, 41
TCP 协议功能, 36
包装, TCP, 102
保
保护
IPsec 通信, 440
具有IPsec 的VPN, 461-468
具有IPsec 的Web 服务器, 459-460
保护（续）
两个系统之间的包, 456
移动系统，使用IPsec, 531-544
硬件中的密钥, 494
保护机制, IPsec, 445-447
本
本地链路地址
IPv6, 253, 255, 258
格式, 69
手动配置, 使用标记, 159
作为IPMP 测试地址, 679-680
本地文件名称服务
/etc/inet/hosts 文件, 457
初始文件, 211, 212
格式, 211
示例, 213
要求, 212
/etc/inet/ipnodes 文件, 457
本地文件模式, 83
说明, 56
网络数据库, 218
本地文件模式
定义, 82
网络配置服务器, 83
有此要求的系统, 83
主机配置, 88
本地站点地址, IPv6, 72
边
边界路由器, 在6to4 站点中, 262
标
标记ID, 在硬件中, 557
标记器模块, 7 21
另请参见dlcosmk 标记器
另请参见dscpmk 标记器
PHB, 用于IP 包转发, 7 23
支持VLAN 设备, 7 96
指定DS 代码点, 7 96
索引
836 系统管理指南：IP 服务• 2006 年8 月
表
表示层(OSI), 34
不
不可用的DHCP地址, 337, 343
测
测试地址, IPMP
IPv4 要求, 67 9
IPv6 要求, 679-680
待机接口, 681
定义, 67 9
防止应用程序使用, 680
配置
IPv4, 694
IPv6, 695
在待机接口上, 7 01
探测器流量和, 67 9
策
策略, IPsec, 448
策略, 对于聚合, 135
策略文件
ike/config 文件, 452, 495, 554
ipsecinit.conf 文件, 484-486
ipsecpolicy.conf 临时文件, 483
安全注意事项, 485-486
插
插槽, 在硬件中, 557
查
查看, IPsec 策略, 461
成
成帧
数据链路层, 35, 41
说明, 41
创
创建
DHCP宏, 354
DHCP选项, 360
IPsec SA, 458, 474-479
ipsecinit.conf 文件, 457
安全参数索引(security parameter index, SPI), 474
安全相关的角色, 481-482
证书请求, 516
自签名证书(IKE), 510
存
存储
磁盘上的IKE 密钥, 518, 557
硬件上的IKE 密钥, 494, 546-548
打
打开
启用了IPv6 的网络, 148-149
网络配置守护进程, 88
代
代理请求, 移动IP, 621, 622
代理搜索, 移动IP, 622
代理通告
通过动态接口, 622, 660
移动IP, 622
带
带宽控制, 7 18
规划, 在QoS 策略中, 7 33
索引
837
待
待机接口
定义, 680-681
配置测试地址, 7 01
为IPMP 组配置, 700-701
单
单点传送数据报路由, 移动IP, 629
单跳行为(per-hop behavior, PHB), 723
AF 转发, 7 24
EF 转发, 7 24
定义, 在IPQoS 配置文件中, 7 7 2
使用, 配合dscpmk 标记器, 7 94
地
地址
6to4 格式, 231
CIDR 格式, 51
IPv4 格式, 51
IPv4 网络掩码, 215
IPv6, 6to4 格式, 163
IPv6 本地链路, 69
IPv6 全局单点传送, 68-69
测试地址, IPMP, 679-680
多点传送, 在IPv6 中, 233-234
回送地址, 211
临时, 在IPv6 中, 153-156
缺省地址选择, 201-203
数据地址, IPMP, 678
显示所有接口的地址, 176-177
以太网地址
ethers 数据库, 219, 224
地址池
查看, 593
查看统计, 599
附加, 594-595
概述, 568-569
配置, 568-569
删除, 594
地址解析, 在IPv6 中, 7 0
地址解析协议(Address Resolution Protocol, ARP)
定义, 36
地址解析协议(Address Resolution Protocol, ARP)
（续）
与相邻节点搜索协议进行比较, 254-255
地址自动配置
IPv6, 248, 252
定义, 70, 71-72
启用, 在IPv6 节点上, 144, 146, 148
点
点分十进制格式, 51
丢
丢弃或丢失的包, 36, 190
丢失或丢弃的包, 36, 190
动
动态接口
代理通告通过, 622, 660
动态路由, 97
动态重新配置(dynamic reconfiguration, DR)
DR 分离过程, 706-707
DR 连接过程, 707-708
定义, 67 8
将接口添加到IPMP 组, 686
将接口与IPMP 组拆离, 686
替换出现故障的接口, 706-708
替换引导时不存在的接口, 708-710
引导时不存在的接口, 687
与IPMP 的交互操作, 685-687
重新连接IPMP 组中的接口, 686-687
动态主机配置协议, 请参见DHCP协议
端
端口, TCP, UDP, 和SCTP 端口号, 227
索引
838 系统管理指南：IP 服务• 2006 年8 月
对
对CRL的http 访问, use_http 关键字, 530
多
多点传送地址, IPv6
概述, 7 0
格式, 233-234
与广播地址比较, 255
多点传送数据报路由, 移动IP, 629-630
多个网络接口
DHCP客户机系统, 382
/etc/inet/hosts 文件, 212
路由器配置, 110, 111
多宿主主机
定义, 112
配置, 112-113
在安装过程中配置, 212
针对IPv6 启用, 144-146
二
二进制到十进制的转换, 215
发
发送主机
包经由, 40, 41
反
反向区域文件, 168
反向通道
单点传送数据报路由, 629
多点传送数据报路由, 630
内部代理注意事项, 628
外部代理注意事项, 628
移动IP, 622, 623-625
访
访问者列表
外部代理, 646
移动IP, 668
非
非VLAN 接口, 117
非活动规则集, 请参见Solaris IP 过滤器
分
分段包, 35
分类器模块, 7 20
action 语句, 7 49
分类器的功能, 7 89
封
封装安全有效负荷(encapsulating security payload, ESP)
IPsec 保护机制, 445-447
安全注意事项, 446
保护IP 包, 440
说明, 446-447
封装的数据报, 移动IP, 619
封装类型, 移动IP, 629
服
服务
网络和svcadm 命令, 464, 470
服务级别协议(service-level agreement, SLA), 717
服务类, 7 20
记帐客户机, 基于流记帐, 7 83
提供不同的服务类, 7 19
服务类, 请参见类
服务类(class of service, CoS) 标记, 7 21
服务器, IPv6
规划任务, 7 7
启用IPv6, 159-160
服务质量(quality of service, QoS)
QoS 策略, 7 18
索引
839
服务质量(quality of service, QoS) （续）
任务, 7 15
负
负荷分配
定义, 67 5
外发, 67 8
负载平衡
跨聚合, 135
在启用了IPQoS 的网络中, 7 29
在启用了IPv6 的网络上, 254
更
更改, IKE 中的权限级别, 506
更改IKE 传输参数任务列表, 548
公
公共拓扑, IPv6, 68
公钥, 存储(IKE), 557
公钥证书, 请参见证书
故
故障恢复
定义, 67 7
动态重新配置(dynamic reconfiguration, DR),
与, 686-687
故障检测, 在IPMP 中, 681
定义, 67 7
探测速率, 67 6
引导时缺少的NIC, 687
故障检测时间, IPMP, 682
故障转移
待机接口, 681
定义, 67 7
动态重新配置(dynamic reconfiguration, DR),
和, 686
示例, 683
管
管理细分, 56
广
广播地址, 663
广播数据报, 移动IP, 629
广域网(wide area network,WAN)
Internet
域名注册, 33
规
规则集
请参见请参见“Solaris IP 过滤器”
inactive
另请参见Solaris IP 过滤器
NAT, 567-568
包过滤, 565-569
过
过渡到IPv6, 6to4 机制, 260
过滤器, 7 20
filter 子句语法, 805
创建, 在IPQoS 配置文件中, 758, 766
规划, 在QoS 策略中, 7 34
选定器, 列表, 7 90
宏
宏
DHCP
请参见DHCP宏
互
互联网络
定义, 57
冗余性和可靠性, 58
通过路由器的包传送, 59, 60
索引
840 系统管理指南：IP 服务• 2006 年8 月
互联网络（续）
拓扑, 57 ,58
回
回送地址, 90, 211
会
会话层(OSI), 34
活
活动-待机接口配置, IPMP, 681
活动-活动接口配置, IPMP, 681
活动规则集, 请参见Solaris IP 过滤器
基
基于BSD 的操作系统
/etc/inet/hosts 文件链接, 211
/etc/inet/netmasks 文件链接, 216
基于链路的故障检测, 定义, 681-682
基于探测器的故障检测
定义, 682
故障检测时间, 682
配置目标系统, 698-699
探测目标, 682
探测器流量, IPMP, 679
计
计量模块
另请参见tokenmt 计量器
另请参见tswtclmt 计量器
调用, 在IPQoS 配置文件中, 7 7 0
计量结果, 721, 791
介绍, 7 21
计算
在硬件中加速IKE, 494, 544-546, 546-548
计算机, 保护通信, 456
记
记录的包, 保存到文件中, 602-603
加
加快
IKE 计算, 494, 544-546
加密实用程序
IKE 协议, 491
ipseckey 命令, 445
加密算法
IPsec
3DES, 447
AES, 447
Blowfish, 447
DES, 447
为IPsec 指定, 487
加速转发(expedited forwarding, EF), 724, 795
定义, 在IPQoS 配置文件中, 7 55
检
检测接口, 104, 117, 120
简
简单网络管理协议(Simple Network Management
Protocol, SNMP), 38
将
将IKE 配置为查找连接的硬件任务列表, 544
交
交互模式
ikeadm 命令, 505
ipseckey 命令, 47 5
交换机配置
链路聚合控制协议(link aggregation control protocol,
LACP) 模式, 135, 139
索引
841
交换机配置（续）
在VLAN 拓扑中, 127-128
在聚合拓扑中, 133
角
角色, 创建网络安全角色, 481-482
接
接口
IPMP 接口类型, 680-681
NIC 的类型, 103, 116
VLAN, 在Solaris 10 1/06 中, 126-132
VLAN, 在Solaris 10 3/05 中, 107-109
待机, 在IPMP 中, 680-681, 700-701
多宿主主机, 112, 212
非VLAN 接口类型, 117
故障转移, 通过IPMP, 683
检查包, 197-198
接口上STREAMS 模块的顺序, 691
类型, 在Solaris 10 1/06 中, 117
路由器配置, 110, 111
命名约定, 117
配置
IPv6 逻辑接口, 241
到聚合中, 136-138
检测, 117
临时地址, 153-156
手动, 对于IPv6, 144-146
在Solaris 10 1/06 中, 120-123
在Solaris 10 3/05 中, 104
作为VLAN 的一部分, 130-132
删除, 106
在Solaris 10 1/06 中, 123
伪接口, 对于6to4 通道, 163
显示状态, 681
显示状态, Solaris 10 1/06, 118-119
支持聚合的类型, 135
传统接口类型, 117
接口ID
定义, 69
格式, 在IPv6 地址中, 66
使用手动配置的标记, 159
接收主机
包经由, 42
节
节点, IPv6, 65
节点名称
本地主机, 90, 210
介
介质访问控制(media access control, MAC) 地址, 请参
见MAC地址
静
静态路由, 97, 210
聚
聚合
创建, 136-138
定义, 132
负载平衡策略, 135
功能, 在Solaris 10 1/06 中, 132
删除接口, 139-140
拓扑
背对背, 134
基本, 133
具有交换机, 133-134
修改, 138-139
要求, 135
开
开放系统互连(Open Systems Interconnect, OSI) 参考模
型, 33, 34
索引
842 系统管理指南：IP 服务• 2006 年8 月
可
可识别Diffserv 的路由器
规划, 7 32
评估DS 代码点, 7 95
空
空间节省模式, in.routed 守护进程选项, 228
库
库
PKCS #11, 546, 556
类
类, 7 20
class 子句的语法, 804
定义, 在IPQoS 配置文件中, 758, 765
选定器, 列表, 7 90
连
连接, ICMP 协议故障报告, 36
链
链路, IPv6, 65
链路层地址更改, 254
链路聚合, 请参见聚合
链路聚合控制协议(link aggregation control protocol,
LACP)
模式, 135
修改LACP 模式, 139
列
列出
CRL(IPsec), 528
标记ID (IPsec), 547
列出（续）
来自metaslot 的标记ID, 547-548
算法(IPsec), 447, 488
硬件(IPsec), 547
证书(IPsec), 515, 528
临
临时地址, 在IPv6 中
定义, 153-156
配置, 154-156
令
令牌环, IPMP 支持, 692
流
流记帐, 783, 798
流记录表, 7 99
流控制, 通过计量模块, 7 21
路
路由, IPv6, 255
路由表
in.routed 守护进程创建, 228
包传送示例, 59, 60
跟踪所有路由, 196
空间节省模式, 228
说明, 59
显示, 205
子网设置和, 215
路由器
DHCP客户机的地址, 289
/etc/defaultrouter 文件, 210
包传送, 59, 60
本地文件模式配置, 88
定义, 109, 228
动态路由, 97
角色, 在6to4 拓扑中, 261
静态路由, 97
索引
843
路由器（续）
路由协议
说明, 39, 228
自动选择, 111
配置, 228
IPv6, 149
对于IPv4 网络, 110
网络接口, 111
缺省地址, 86
添加, 57 ,60
网络拓扑, 57 ,58
在升级到IPv6 时遇到的问题, 206
路由器请求
IPv6, 251, 252
路由器搜索, 在IPv6 中, 70, 248, 252, 254
路由器通告
IPv6, 251, 252, 254, 256
前缀, 252
移动IP, 652
路由协议
RDISC
说明, 39, 228
RIP
说明, 39, 228
说明, 39, 228
自动选择, 111
路由信息协议(routing information protocol, RIP)
说明, 39, 228
逻
逻辑接口
DHCP客户机系统, 382
定义, 103, 116
对于IPv6 地址, 241
对于IPv6 通道, 161, 162
密
密码, 请参见加密算法
密钥
ike.privatekeys 数据库, 557
ike/publickeys 数据库, 557
密钥（续）
存储(IKE)
公钥, 557
证书, 557
专用, 556
管理IPsec, 445
生成随机数, 473-474
手动管理, 486-487
为IPsec SA创建, 474-479
预先共享的(IKE), 493
在硬件上存储, 494
自动管理, 492
密钥存储
IPsec SA, 452
ISAKMP SA, 555
softtoken, 555
softtoken 密钥库, 439
来自metaslot 的标记ID, 547-548
密钥管理
IKE, 492
IPsec, 445
区域和, 456
手动, 486-487
自动, 492
密钥库名称, 请参见标记ID
密钥协商, IKE, 548-551
名
名称/命名
节点名称
本地主机, 90, 210
命名网络实体, 55, 57
域名
顶层域, 56
选择, 56
注册, 33
主机名
/etc/inet/hosts 文件, 212
管理, 55
名称服务
DHCP客户机注册, 320
hosts 数据库和, 212, 213
NIS, 56
NIS+, 56
索引
844 系统管理指南：IP 服务• 2006 年8 月
名称服务（续）
nsswitch.conf 文件模板, 221
本地文件
/etc/inet/hosts 文件, 211, 213
本地文件模式, 83
说明, 56
管理细分, 56
数据库搜索顺序规范, 220, 223
网络数据库和, 56, 218
选择服务, 55, 57
与网络数据库对应的文件, 219
域名系统(domain name system, DNS), 38, 56
域名注册, 33
支持的服务, 55
命
命令
IKE, 555-557
ikeadm 命令, 495, 505, 553, 554
ikecert 命令, 495, 553, 555
in.iked daemon, 553
IPsec
in.iked 命令, 445
ipsecalgs 命令, 447, 486
ipsecconf 命令, 451, 458, 483-484
ipseckey 命令, 452, 475, 486-487
snoop 命令, 489
安全注意事项, 487
列表, 451-452
目
目标系统, 在IPMP 中
定义, 67 7
配置, 在shell 脚本中, 698-699
手动配置, 698
目录
/etc/inet, 495
/etc/inet/ike, 495
/etc/inet/publickeys, 557
/etc/inet/secret, 495
/etc/inet/secret/ike.privatekeys, 556
公钥(IKE), 557
目录（续）
私钥(IKE), 556
预先共享的密钥(IKE), 555
证书(IKE), 557
目录名称(directory name, DN), 用于访问CRL, 528
内
内部代理
Address 部分, 664, 665
安全关联支持, 627
绑定表, 646, 648, 668
动态地址分配, 662
动态搜索, 628
封装, 629
取消注册, 626
确定功能, 634
实现, 651
数据报传送, 618
消息重放保护, 662
验证, 640
移动节点的位置, 621
注册回复, 627
注册请求, 627, 628
注册消息, 621, 625
注意事项, 628
转发数据报, 629
状态信息, 67 0
内部代理-外部代理验证, 627
内部地址, 618, 619
内部网络, 618, 619, 626, 628
匿
匿名FTP 程序, 说明, 37
匿名登录名, 37
配
配置
DHCP服务, 295
DHCP客户机, 37 7
IKE, 497
索引
845
配置（续）
ike/config 文件, 554
IKE，使用CA证书, 516-523
IKE，使用公钥证书, 509, 510-516
IKE，使用自签名证书, 510-516
IKE，在硬件上使用证书, 523-528
IPsec, 483-484
ipsecinit.conf 文件, 484-486
NAT 规则, 567-568
TCP/IP 配置模式
本地文件模式, 83, 88
混合配置, 84
网络客户机模式, 91
样例网络, 84
TCP/IP 配置文件, 209
/etc/defaultdomain 文件, 210
/etc/defaultrouter 文件, 210
/etc/hostname.interface 文件, 210
/etc/nodename 文件, 90, 210
hosts 数据库, 211, 213
netmasks 数据库, 214
TCP/IP 网络
nsswitch.conf 文件, 220, 223
本地文件模式, 88
标准TCP/IP 服务, 97
配置文件, 209
网络客户机, 90
网络数据库, 218, 220, 223
先决条件, 81
包过滤规则, 565-567
地址池, 568-569
借助角色实现的安全, 481-482
路由器, 228
概述, 109
网络接口, 110, 111
启用了IPv6 的路由器, 149
手动配置接口, 对于IPv6, 144-146
受IPsec 保护的VPN, 461-468, 468-473
网络配置服务器, 88
用于移动系统的IKE, 531-544
配置IKE 任务列表, 497
配置文件
IPv6
/etc/inet/hostname6.interface 文件, 241
/etc/inet/ipaddrsel.conf 文件, 242
/etc/inet/ndpd.conf 文件, 236-240, 238
配置文件（续）
Solaris IP 过滤器示例, 565
TCP/IP 网络
/etc/defaultdomain 文件, 210
/etc/defaultrouter 文件, 210
/etc/hostname.interface 文件, 210
/etc/nodename 文件, 90, 210
hosts 数据库, 211, 213
netmasks 数据库, 214
为Solaris IP 过滤器创建, 604
启
启用IPQoS 的网络的硬件, 7 28
启用Solaris IP 过滤器, 574-576
前
前缀
路由器通告, 252, 254, 256
网络, IPv4, 53
站点前缀, IPv6, 67
子网前缀, IPv6, 67
前缀搜索, 在IPv6 中, 7 0
请
请求注解文档(Requests for Comment, RFC), 43
IKE, 440-441
IPQoS, 716
IPsec, 440-441
IPv6, 63
定义, 43
区
区分服务, 7 15
区分服务模型, 7 19
提供不同的服务类, 7 19
网络拓扑, 7 28
区域
IPsec 和, 451, 456
索引
846 系统管理指南：IP 服务• 2006 年8 月
区域（续）
密钥管理和, 456
区域文件, 168
取
取消激活Solaris IP 过滤器, 581-582, 582-583
取消注册
移动IP, 621, 625, 626
权
权限级别
在IKE 中检查, 503, 508
在IKE 中设置, 505, 508
权限配置文件
网络安全, 481
网络管理, 481
缺
缺省的移动节点
移动IP 的Address 部分, 638, 667-668
缺省地址选择, 242-243
IPv6 地址选择策略表, 201-203
定义, 201-203
确
确保转发(assured forwarding, AF), 724, 795
AF 代码点表, 7 95
针对标记器action 语句, 7 54
确定下一个跃点, IPv6, 71
任
任务列表
DHCP
IP 地址管理决策, 289
处理IP 地址, 334
使用DHCP宏, 347
任务列表, DHCP（续）
使用DHCP网络, 322
使用DHCP选项, 358
为DHCP服务器配置制定决策, 287
为DHCP准备网络, 283
修改DHCP服务选项, 312
移动DHCP服务器配置数据, 37 0
支持BOOTP 客户机, 332
支持仅信息客户机, 367
支持使用DHCP删除引导和无盘客户机, 366
IKE, 497
IKE，使用公钥证书, 509
IKE，使用硬件, 544
IKE，使用预先共享的密钥, 498
IPMP
IPMP 组配置, 689-690
动态重新配置(dynamic reconfiguration, DR) 管
理, 690
IPQoS
QoS 策略规划, 7 31
流记帐设置, 7 83
配置规划, 7 27
配置文件创建, 7 43
IPsec, 455
IPv4 网络
添加子网, 85
IPv6
规划, 73-74
配置, 148-149
通道配置, 160
更改IKE 传输参数, 548
将IKE 配置为查找连接的硬件, 544
具有自定义传输参数的IKE, 548
使用公钥证书配置IKE, 509
网络管理任务, 173-174
网络配置, 81-82
为移动系统配置IKE, 531
移动IP
配置, 633-634
修改配置, 638-639
用于移动系统的IKE, 531
在硬件上存储IKE 密钥, 544
在硬件上加速IKE 密钥, 544
任意点传送地址, 167
定义, 7 0
任意点传送组, 6to4 中继路由器, 167
索引
847
日
日志文件
查看Solaris IP 过滤器的, 601
在Solaris IP 过滤器中清除, 601-602
三
三次握手, 41
三重DES 加密算法, IPsec 和, 447
删
删除
DHCP选项, 364
IPsec SA, 475
设
设计网络
IP 寻址方案, 49, 55
概述, 48, 49
命名主机, 55
域名选择, 56
子网设置, 214
生
生成, 随机数, 473-474
十
十进制到二进制的转换, 215
时
时间标记, 637, 662
使
使用公钥证书配置IKE 任务列表, 509
守
守护进程
in.iked 守护进程, 492, 495, 553
in.mpathd 守护进程, 67 6
in.ndpd 守护进程, 248
in.ripngd 守护进程, 150, 249
in.routed 路由选择守护进程, 97
in.tftpd 守护进程, 88
inetd Internet 服务, 217
网络配置服务器引导协议, 83
数
数据包头字段, IPv6, 234
数据报
IP, 440
IP 数据包头, 41
IP 协议格式化, 35
UDP协议功能, 37
包处理, 41
数据地址, IPMP, 定义, 67 8
数据封装
TCP/IP 协议栈和, 39, 42
定义, 39
数据库
IKE, 555-557
ike/crls 数据库, 557
ike.privatekeys 数据库, 556, 557
ike/publickeys 数据库, 557
安全策略数据库(security policy database, SPD), 440
安全关联数据库(security associations database,
SADB), 486
数据链路层
OSI, 34
TCP/IP, 35
包生命周期
发送主机, 41
接收主机, 42
成帧, 41
数据通信, 39, 42
索引
848 系统管理指南：IP 服务• 2006 年8 月
数据通信（续）
包生命周期, 40, 42
数字签名
DSA, 556
RSA, 556
刷
刷新
请参见删除
请参见替换
预先共享的密钥(IPsec), 502-503
双
双栈协议, 76, 235-236
私
私钥, 存储(IKE), 556
随
随机数, 使用od 命令生成, 501
探
探测目标, in.mpathd 守护进程, 67 9
套
套接字
IPsec 安全, 485
安全注意事项, 458
使用netstat 显示套接字状态, 184
替
替换
IPsec SA, 475
手动密钥(IPsec), 475
预先共享的密钥(IPsec), 502-503
添
添加
CA证书(IKE), 516-523
IPsec SA, 458, 474-479
公钥证书(IKE), 516-523
手动密钥(IPsec), 474-479
预先共享的密钥(IKE), 503-508
自签名证书(IKE), 510
跳
跳过
IPsec 策略, 448
LAN 中的IPsec, 468
通
通道
6to4
已知问题, 208
6to4 通道包流, 262
6to4 通道拓扑, 261
ifconfig 安全选项, 487-488
IPsec, 449
IPv6, 手动配置, 258-260
IPv6, 自动, 260
IPv6 通道连接机制, 257
保护包, 449
规划, 对于IPv6, 78-79
配置IPv6
6to4, 通往6to4 中继路由器, 166
6to4 通道, 163
IPv4 over IPv6, 162
IPv6 over IPv4, 161
IPv6 over IPv6, 161
示例, 245-246
索引
849
通道（续）
拓扑, 到6to4 中继路由器, 263
通道连接, 619, 629, 631
通道模式, IPsec, 448-449
通信管理
控制带宽, 7 18
控制流, 7 21
设置通信流的优先级, 7 19
转发通信, 723, 724, 725
通信流量管理, 规划网络拓扑, 7 28
通信一致性
定义, 7 7 0
规划
QoS 策略中的结果, 7 37
QoS 策略中的速率, 7 37
结果, 721, 791
速率参数, 791, 792
统
统计信息
包传输(ping), 190
每个协议(netstat), 179
统一资源指示器(uniform resource indicator, URI), 用于
访问CRL, 528
拓
拓扑, 57 ,58
外
外部代理
安全关联支持, 627
定义, 619
访问者列表, 646, 668
封装支持, 629
没有外部代理时工作, 623
请求服务, 627
确定功能, 634
实现, 651
数据报, 618
为移动节点提供服务, 622
外部代理（续）
向多个注册, 625
消息验证, 664, 665
验证, 640
中继注册请求, 627
注册时使用, 625, 626
注册消息, 621
注意事项, 628
转交地址, 623, 626, 629
外部网络, 619, 625, 629
完
完全转发保密(perfect forward secrecy, PFS)
IKE, 492
说明, 492
网
网络安全, 配置, 437
网络安全权限配置文件, 481-482
网络层(OSI), 34
网络地址转换(Network Address Translation, NAT), 请参
见NAT
网络访问标识符
移动IP, 664
移动IP 的Address 部分, 638, 666-667
网络管理
简单网络管理协议(Simple Network Management
Protocol, SNMP), 38
设计网络, 48
网络号, 49
主机名, 55
网络管理权限配置文件, 481
网络规划, 47 ,60
IP 寻址方案, 49, 55
设计决策, 48, 49
添加路由器, 57 ,60
指定名称, 55, 57
注册网络, 50
网络号, 33
网络号的符号名称, 217
网络接口
IP 地址和, 54
索引
850 系统管理指南：IP 服务• 2006 年8 月
网络接口（续）
多个网络接口
/etc/inet/hosts 文件, 212
配置, 103-109
显示DHCP状态, 381
由DHCP服务监视, 323-324
网络接口名称, 117
网络接口卡(network interface card, NIC)
dynamic reconfiguration（动态重新配置）, 67 8
IPMP 组中的NIC 速度, 67 7
NIC, 类型, 103, 116
定义, 67 7
故障和故障转移, 67 7
管理引导时不存在的NIC, 687
将NIC 与DR 拆离, 686
将NIC 与DR 连接, 686
修复检测, 67 7
支持IPMP 的NIC, 681
网络客户机
ethers 数据库, 224
网络配置服务器, 83, 88
系统运行方式, 83, 84
主机配置, 91
网络客户机模式
定义, 82
概述, 83, 84
主机配置, 91
网络类, 52
A类, 229
B 类, 229
C 类, 229
可用编号的范围, 52
网络号管理, 49
寻址方案, 52
指定IANA网络号, 52
网络配置
IPv4 网络配置任务, 86
IPv4 网络拓扑, 84
IPv6 路由器, 149
TCP/IP 配置模式, 84
本地文件模式, 83
配置信息, 82
网络客户机模式, 83, 84
网络配置服务器, 83
路由器, 109
网络配置（续）
配置
服务, 97
网络客户机, 90
配置安全性, 437
启用了IPv6 的多宿主主机, 144-146
网络配置服务器的设置, 88
在主机上启用IPv6, 153-160
主机配置模式, 82
网络配置服务器
定义, 83
设置, 88
引导协议, 83
网络前缀, IPv4, 53
网络数据库, 218, 220
bootparams 数据库, 223
DNS 引导文件和数据文件和, 218
ethers 数据库
对项进行检查, 206
概述, 224
hosts 数据库
对项进行检查, 206
概述, 211, 213
名称服务, 格式, 218
名称服务, 影响, 213
名称服务的影响, 212
netmasks 数据库, 214, 219
networks 数据库, 224
nsswitch.conf 文件和, 218, 220, 223
protocols 数据库, 226
services 数据库, 226
对应的名称服务文件, 219
名称服务的影响, 218, 220
网络拓扑, 57 ,58
DHCP和, 284
为
为移动系统配置IKE 任务列表, 531
索引
851
文
文件
IKE
crls directory, 495, 557
ike/config 文件, 452, 493, 495, 554
ike.preshared 文件, 495, 555
ike.privatekeys directory, 495, 557
publickeys directory, 495, 557
IPsec
/etc/inet/ipsecpolicy.conf 文件, 483-484
ipsecinit.conf 文件, 451, 484-486
ipseckeys 文件, 452
ipsecpolicy.conf 文件, 451
文件服务, 38
握
握手, 三次, 41
无
无盘客户机, DHCP支持, 366
无线通信
移动IP, 619, 623, 630
无状态地址自动配置, 252
物
物理层(OSI), 34
物理附加点(physical point of attachment, PPA), 108,
128
物理接口
VLAN, 定义, 107-109, 126-132
定义, 103, 116, 676
故障检测, 681
命名约定, 117
配置, 103-109
删除, 123
在Solaris 10 3/05 中, 106
添加, 在安装后, 104, 120
通过IPMP 检测修复, 683
网络接口卡(network interface card, NIC), 103, 116
物理网络层(TCP/IP), 35, 41, 42
系
系统, 保护通信, 456
细
细分, 管理, 56
下
下一个跃点, 255
显
显示
IPsec 策略, 461
配置信息, 17 4
状态, 17 4
相
相邻节点不可访问性检测
IPv6, 71, 253, 255
相邻节点请求, IPv6, 251
相邻节点搜索协议
地址解析, 7 0
地址自动配置, 70, 252
功能, 7 0
路由器搜索, 70, 252
前缀搜索, 70, 252
相邻节点请求, 253
与ARP 进行比较, 254-255
重复地址检测算法, 253
主要功能, 251-255
消
消息, 路由器通告, 256
消息验证
移动IP, 627, 663, 665
消息重放保护, 662
索引
852 系统管理指南：IP 服务• 2006 年8 月
协
协同定位的转交地址, 621, 627, 629
获取, 623
协议层
OSI 参考模型, 33, 34
TCP/IP 协议体系结构模型, 34, 39
Internet 层, 35
数据链路层, 35
物理网络层, 35
应用层, 34, 37, 39
传输层, 35, 36
包生命周期, 40, 42
协议统计信息显示, 17 9
新
新功能
DHCP事件脚本, 389-393
IKE 增强功能, 495-496
inetconv 命令, 89
IPsec 增强功能, 452-453
IPv6 中的临时地址, 153-156
routeadm 命令, 111, 150
SCTP 协议, 98-102
服务管理工具(Service Management Facility,
SMF), 90
聚合, 132-141
逻辑接口上的DHCP, 382
缺省地址选择, 201-203
使用dladm 命令显示接口状态, 118
手动配置本地链路地址, 156-159
站点前缀, 在IPv6 中, 66, 67
新增功能
基于链路的故障检测, 681-682
手动配置MAC地址, 692-694
在IPMP 中配置目标系统, 698-699
星
星号(*), bootparams 数据库中的通配符, 223
修
修复检测, 通过IPMP, 677, 683
修改
DHCP宏, 350
DHCP选项, 362
虚
虚拟专用网络(virtual private network, VPN), 使用IPsec
构造, 449
虚拟专用网络(virtual private networks, VPN)
IPv4 示例, 461
IPv6 示例, 468
使用IPsec 保护, 461-468
使用routeadm 命令配置, 463, 468
选
选定器, 7 20
IPQoS 5 元组, 7 20
规划, 在QoS 策略中, 7 34
选定器, 列表, 7 90
循
循环冗余码校验(cyclical redundancy check, CRC) 字
段, 42
延
延长DHCP租用期, 380
验
验证, 包保护, 479-481
验证算法
IKE, 556
为IPsec 指定, 487
验证头(authentication header,AH)
IPsec 保护机制, 445-447
安全注意事项, 446
索引
853
验证头(authentication header,AH) （续）
保护IP 包, 440
保护IP 数据报, 446
疑
疑难解答
DHCP, 395
IKE 有效负荷, 523
IKE 传输时间安排, 548-551
IPv6 问题, 206-208
TCP/IP 网络
ping 命令, 190
traceroute 命令, 195-196
包丢失, 190
查看通过接口的传输, 183-184
第三方诊断问题, 205
跟踪in.ndpd 活动, 193-194
跟踪in.routed 活动, 192-193
获取每个协议的统计信息, 179-181
获取传输协议状态, 181-183
检查客户机和服务器之间的包, 200
软件检查, 205
使用ifconfig 命令显示接口状态, 174, 176-177
使用netstat 命令监视网络状态, 17 8
使用ping 命令探测远程主机, 189
使用snoop 命令监视包传送, 197
显示已知路由的状态, 188-189
一般方法, 205
检查PPP 链路
包流, 197
移
移动IP
Address 部分
缺省的移动节点, 638, 667-668
网络访问标识符, 666-667
网络访问标识符(Network Access Identifier), 638
IPsec, 使用, 631
安全参数索引(security parameter index, SPI), 627,
663
安全关联, 627
安全注意事项, 630-631
移动IP （续）
不支持的RFC, 652
不支持的功能, 652
部署, 633
代理请求, 621, 622
代理搜索, 622
代理通告, 621, 622, 625
单点传送数据报路由, 629
多点传送数据报路由, 629-630
反向通道, 622, 623-625
单点传送数据报路由, 629
多点传送数据报路由, 630
内部代理注意事项, 628
外部代理注意事项, 628
封装的数据报, 619
封装类型, 629
工作原理, 619-621
广播数据报, 629
路由器通告, 652
配置, 634-638
配置文件
Address 部分, 663, 664-668
Advertisements 部分, 660-661
General 部分, 660
GlobalSecurityParameters 部分, 661-662
Pool 部分, 662-663
SPI 部分, 663-664, 664, 665
配置文件的部分, 659
配置文件的格式, 652
取消注册, 621, 625, 626
数据报移动, 618
网络访问标识符, 664
无线通信, 619, 623, 630
显示代理状态, 646-648
消息验证, 627, 630, 663
样例配置文件, 652-659
支持的RFC, 651
注册, 619, 621, 625
反向通道标志, 627
注册回复消息, 627, 628
注册请求, 627
注册请求消息, 627
注册消息, 626, 627, 652
专用地址, 624-625
状态信息, 67 0
移动IP 拓扑, 618
索引
854 系统管理指南：IP 服务• 2006 年8 月
移动绑定, 625, 627, 628, 629
移动代理, 621, 627
Address 部分, 664, 665
mipagent_state 文件, 67 0
路由器通告, 652
配置, 668
软件, 651
状态, 668
移动节点, 617, 618, 619, 666
Address 部分, 637
定义, 619
移动节点-内部代理验证, 627
移动节点-外部代理验证, 627
以
以太网地址
请参见ethers 数据库
请参见MAC地址
引
引导, 网络配置服务器引导协议, 83
引导参数协议, 83
应
应用层
OSI, 34
TCP/IP, 37, 39
UNIX “r” 命令, 38
标准TCP/IP 服务, 37
路由协议, 39
名称服务, 38
说明, 34, 37
网络管理, 38
文件服务, 38
包生命周期
发送主机, 40
接收主机, 42
应用程序服务器, 配置IPQoS, 760
硬
硬件
存储IKE 密钥, 494, 546-548
加快IKE 计算, 494, 544-546
物理层(OSI), 34
物理网络层(TCP/IP), 35
用
用户优先级值, 7 21
域
域名
/etc/defaultdomain 文件, 88, 91, 210
顶层域, 56
选择, 56
注册, 33
域名系统(domain name system, DNS)
反向区域文件, 168
区域(zone) 文件, 168
说明, 38
通过DHCP服务器启用动态更新, 318
网络数据库, 56, 218
为支持IPv6 而进行的扩展, 264
选择作为名称服务, 56
域名注册, 33
准备, 以支持IPv6, 78
预
预先共享的密钥(IKE)
存储, 555
任务列表, 498
说明, 493
预先共享的密钥(IPsec)
创建, 474-479
替换, 502-503
跃
跃点, 中继代理, 321
索引
855
站
站点前缀, IPv6
定义, 66, 67
如何获取, 79-80
通告, 在路由器上, 151
站点拓扑, IPv6, 68
证
证书
IKE, 494
创建自签名的(IKE), 510
存储
IKE, 557
在计算机上, 510
在硬件上, 494, 544
忽略CRL, 521
来自CA, 518
列出, 515
请求
来自CA, 516
在硬件上, 524
说明, 517
添加到数据库, 518
硬件上来自CA的, 527
在ike/config 文件中, 525
证书撤销列表, 请参见CRL
证书请求
来自CA, 516
使用, 556
在硬件上, 524
识
识别颜色, 721, 792
中
中继, 请参见聚合
中继路由器, 6to4 通道配置, 166, 167
重
重定向
IPv6, 71, 251, 255
重复地址检测
DHCP服务, 321
IPv6, 71
算法, 253
重新配置调整管理器(Reconfiguration Coordination
Manager, RCM) 框架, 686-687
主
主机
TCP/IP 配置模式, 84
本地文件模式, 83, 88
混合配置, 84
配置信息, 82
网络客户机模式, 83, 84, 91
网络配置服务器, 83
样例网络, 84
对一般问题进行疑难解答, 205
多宿主
创建, 112
发送
包经由, 40, 41
检查IP 连接, 190
接收
包经由, 42
临时IPv6 地址, 153-156
路由协议的选择, 111
配置6to4 地址, 232
使用ping 检查主机连接, 189
样例网络, 84
在IPv4 网络拓扑中, 84
针对IPv6 配置, 153-160
主机名
/etc/inet/hosts 文件, 212
管理, 55
主机到主机通信, 35
主机名, 使客户机请求, 383-384
主机配置模式(TCP/IP), 82, 84
IPv4 网络拓扑, 84
本地文件模式, 83
混合配置, 84
网络客户机模式, 83, 84
索引
856 系统管理指南：IP 服务• 2006 年8 月
主机配置模式(TCP/IP) （续）
网络配置服务器, 83
样例网络, 84
主网络接口, 103, 116
注
注册
反向通道标志, 627
回复消息, 628
请求, 627
网络, 50
消息, 625, 626, 627
移动IP, 619, 621, 625
域名, 33
专
专用地址, 移动IP, 624-625
转
转发通信
IP 包转发, 使用DSCP, 723
PHB 对包转发的影响, 7 94
规划, 在QoS 策略中, 7 33
数据报转发, 7 96
通信流经过Diffserv 网络, 7 24
转换DHCP数据存储, 368-370
转交地址
共享, 623
获取, 623
外部代理, 623, 626, 628
协同定位的, 621, 623, 627, 629
移动IP, 618
移动代理, 619
移动节点的位置, 619
移动节点注册, 625
状态信息, 67 0
传
传入负载平衡, 254
传输参数
IKE 调整, 548-551
IKE 全局参数, 549
传输参数(IKE), 任务列表, 548
传输层
OSI, 34
TCP/IP
SCTP 协议, 36, 98-102
TCP 协议, 36
UDP协议, 37
说明, 35, 36
包生命周期
发送主机, 40, 41
接收主机, 42
获取传输协议状态, 181-183
数据封装, 40, 41
传输模式, IPsec, 448-449
传统接口, 117
状
状态表, 查看, 596-597
状态统计, 查看, 597-598
状态信息, 移动IP, 670
子
子网
IPv4
地址和, 215
网络掩码配置, 88
IPv4 地址和, 216
IPv4 地址中的子网号, 53
IPv6
6to4 拓扑和, 262
编号建议, 80
定义, 65
netmasks 数据库, 214
编辑/etc/inet/netmasks 文件, 216, 217
网络掩码创建, 215, 216
概述, 215
网络配置服务器, 83
索引
857
子网（续）
网络掩码
创建, 216
应用到IPv4 地址, 215, 216
子网号, IPv4, 215
子网前缀, IPv6, 67
子网前缀, IPv6, 67
自
自动通道, 过渡到IPv6, 257
组
组故障, IPMP, 683
最
最大传输单位(maximum transmission unit, MTU), 255
索引
858 系统管理指南：IP 服务• 2006 年8 月