DHCP 命令
第18 章• DHCP 命令和文件(参考) 419
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
tmp=${tmp#*.}
NN04=${tmp%%.*}
RETNET=""
RETMASK=""
typeset -i16 ONE=10#${1%%.*}
typeset -i10 X=$((${ONE}&16#f0))
if [ ${X} -eq 224 ]
then
# Multicast
typeset -i10 TMP=$((${ONE}&16#f0))
RETNET="${TMP}.0.0.0"
RETMASK="240.0.0.0"
fi
typeset -i10 X=$((${ONE}&16#80))
if [ -z "${RETNET}" -a ${X} -eq 0 ]
then
# Class A
RETNET="${NN01}.0.0.0"
RETMASK="255.0.0.0"
fi
typeset -i10 X=$((${ONE}&16#c0))
if [ -z "${RETNET}" -a ${X} -eq 128 ]
DHCP 命令
420 系统管理指南:IP 服务• 2006 年8 月
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
then
# Class B
RETNET="${NN01}.${NN02}.0.0"
RETMASK="255.255.0.0"
fi
typeset -i10 X=$((${ONE}&16#e0))
if [ -z "${RETNET}" -a ${X} -eq 192 ]
then
# Class C
RETNET="${NN01}.${NN02}.${NN03}.0"
RETMASK="255.255.255.0"
fi
print - ${RETNET} ${RETMASK}
unset NNO1 NNO2 NNO3 NNO4 RETNET RETMASK XONE
}
#
# Given a dotted form of an IP address, convert it to its hex equivalent.
#
convert_dotted_to_hex()
{
typeset -i10 one=${1%%.*}
typeset -i16 one=${one}
DHCP 命令
第18 章• DHCP 命令和文件(参考) 421
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
typeset -Z2 one=${one}
tmp=${1#*.}
typeset -i10 two=${tmp%%.*}
typeset -i16 two=${two}
typeset -Z2 two=${two}
tmp=${tmp#*.}
typeset -i10 three=${tmp%%.*}
typeset -i16 three=${three}
typeset -Z2 three=${three}
tmp=${tmp#*.}
typeset -i10 four=${tmp%%.*}
typeset -i16 four=${four}
typeset -Z2 four=${four}
hex=‘print - ${one}${two}${three}${four} | sed -e ’s/#/0/g’‘
print - 16#${hex}
unset one two three four tmp
}
#
DHCP 命令
422 系统管理指南:IP 服务• 2006 年8 月
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
# Generate an IP address given the network address, mask, increment.
#
get_addr()
{
typeset -i16 net=‘convert_dotted_to_hex ${1}‘
typeset -i16 mask=‘convert_dotted_to_hex ${2}‘
typeset -i16 incr=10#${3}
# Maximum legal value - invert the mask, add to net.
typeset -i16 mhosts=~${mask}
typeset -i16 maxnet=${net}+${mhosts}
# Add the incr value.
let net=${net}+${incr}
if [ $((${net} < ${maxnet})) -eq 1 ]
then
typeset -i16 a=${net}\&16#ff000000
typeset -i10 a="${a}>>24"
typeset -i16 b=${net}\&16#ff0000
typeset -i10 b="${b}>>16"
DHCP 命令
第18 章• DHCP 命令和文件(参考) 423
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
typeset -i16 c=${net}\&16#ff00
typeset -i10 c="${c}>>8"
typeset -i10 d=${net}\&16#ff
print - "${a}.${b}.${c}.${d}"
fi
unset net mask incr mhosts maxnet a b c d
}
# Given a network address and client address, return the index.
client_index()
{
typeset -i NNO1=${1%%.*}
tmp=${1#*.}
typeset -i NNO2=${tmp%%.*}
tmp=${tmp#*.}
typeset -i NNO3=${tmp%%.*}
tmp=${tmp#*.}
typeset -i NNO4=${tmp%%.*}
typeset -i16 NNF1
let NNF1=${NNO1}
typeset -i16 NNF2
DHCP 命令
424 系统管理指南:IP 服务• 2006 年8 月
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
let NNF2=${NNO2}
typeset -i16 NNF3
let NNF3=${NNO3}
typeset -i16 NNF4
let NNF4=${NNO4}
typeset +i16 NNF1
typeset +i16 NNF2
typeset +i16 NNF3
typeset +i16 NNF4
NNF1=${NNF1#16\#}
NNF2=${NNF2#16\#}
NNF3=${NNF3#16\#}
NNF4=${NNF4#16\#}
if [ ${#NNF1} -eq 1 ]
then
NNF1="0${NNF1}"
fi
if [ ${#NNF2} -eq 1 ]
then
NNF2="0${NNF2}"
fi
if [ ${#NNF3} -eq 1 ]
then
DHCP 命令
第18 章• DHCP 命令和文件(参考) 425
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
NNF3="0${NNF3}"
fi
if [ ${#NNF4} -eq 1 ]
then
NNF4="0${NNF4}"
fi
typeset -i16 NN
let NN=16#${NNF1}${NNF2}${NNF3}${NNF4}
unset NNF1 NNF2 NNF3 NNF4
typeset -i NNO1=${2%%.*}
tmp=${2#*.}
typeset -i NNO2=${tmp%%.*}
tmp=${tmp#*.}
typeset -i NNO3=${tmp%%.*}
tmp=${tmp#*.}
typeset -i NNO4=${tmp%%.*}
typeset -i16 NNF1
let NNF1=${NNO1}
typeset -i16 NNF2
let NNF2=${NNO2}
typeset -i16 NNF3
let NNF3=${NNO3}
DHCP 命令
426 系统管理指南:IP 服务• 2006 年8 月
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
typeset -i16 NNF4
let NNF4=${NNO4}
typeset +i16 NNF1
typeset +i16 NNF2
typeset +i16 NNF3
typeset +i16 NNF4
NNF1=${NNF1#16\#}
NNF2=${NNF2#16\#}
NNF3=${NNF3#16\#}
NNF4=${NNF4#16\#}
if [ ${#NNF1} -eq 1 ]
then
NNF1="0${NNF1}"
fi
if [ ${#NNF2} -eq 1 ]
then
NNF2="0${NNF2}"
fi
if [ ${#NNF3} -eq 1 ]
then
NNF3="0${NNF3}"
fi
if [ ${#NNF4} -eq 1 ]
DHCP 命令
第18 章• DHCP 命令和文件(参考) 427
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
then
NNF4="0${NNF4}"
fi
typeset -i16 NC
let NC=16#${NNF1}${NNF2}${NNF3}${NNF4}
typeset -i10 ANS
let ANS=${NC}-${NN}
print - $ANS
}
#
# Check usage.
#
if [ "$#" != 3 ]
then
print "This script is used to add client entries to a DHCP network"
print "table by utilizing the pntadm batch facilty.\n"
print "usage: $0 network start_ip entries\n"
print "where: network is the IP address of the network"
print " start_ip is the starting IP address \n"
print " entries is the number of the entries to add\n"
print "example: $0 10.148.174.0 10.148.174.1 254\n"
return
DHCP 命令
428 系统管理指南:IP 服务• 2006 年8 月
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
fi
#
# Use input arguments to set script variables.
#
NETWORK=$1
START_IP=$2
typeset -i STRTNUM=‘client_index ${NETWORK} ${START_IP}‘
let ENDNUM=${STRTNUM}+$3
let ENTRYNUM=${STRTNUM}
BATCHFILE=/tmp/batchfile.$$
MACRO=‘uname -n‘
#
# Check if mask in netmasks table. First try
# for network address as given, in case VLSM
# is in use.
#
NETMASK=‘get_netmask ${NETWORK}‘
if [ -z "${NETMASK}" ]
then
get_default_class ${NETWORK} | read DEFNET DEFMASK
# use the default.
DHCP 命令
第18 章• DHCP 命令和文件(参考) 429
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
if [ "${DEFNET}" != "${NETWORK}" ]
then
# likely subnetted/supernetted.
print - "\n\n###\tWarning\t###\n"
print - "Network ${NETWORK} is netmasked, but no entry was found \n
in the ’netmasks’ table; please update the ’netmasks’ \n
table in the appropriate nameservice before continuing. \n
(See /etc/nsswitch.conf.) \n" >&2
return 1
else
# use the default.
NETMASK="${DEFMASK}"
fi
fi
#
# Create a batch file.
#
print -n "Creating batch file "
while [ ${ENTRYNUM} -lt ${ENDNUM} ]
do
if [ $((${ENTRYNUM}-${STRTNUM}))%50 -eq 0 ]
then
DHCP 命令
430 系统管理指南:IP 服务• 2006 年8 月
示例18–1 使用pntadm 命令的addclient.ksh 脚本(续)
print -n "."
fi
CLIENTIP=‘get_addr ${NETWORK} ${NETMASK} ${ENTRYNUM}‘
print "pntadm -A ${CLIENTIP} -m ${MACRO} ${NETWORK}" >> ${BATCHFILE}
let ENTRYNUM=${ENTRYNUM}+1
done
print " done.\n"
#
# Run pntadm in batch mode and redirect output to a temporary file.
# Progress can be monitored by using the output file.
#
print "Batch processing output redirected to ${BATCHFILE}"
print "Batch processing started."
pntadm -B ${BATCHFILE} -v > /tmp/batch.out 2 >&1
print "Batch processing completed."
DHCP 命令
第18 章• DHCP 命令和文件(参考) 431
DHCP服务使用的文件
下表列出了与Solaris DHCP关联的文件。
表18–2DHCP守护进程和命令使用的文件和表
文件名或表名说明手册页
dhcptab DHCP配置信息表的通称,这些配置信息记录为具有指定
值的选项,随后会组合为宏。dhcptab 表的名称及其地址
由用于DHCP信息的数据存储确定。
dhcptab(4)
DHCP网络表将IP 地址映射为客户机ID 和配置选项。DHCP网络表根
据网络的IP 地址来命名,如10.21.32.0。不存在名为
dhcp_network 的文件。DHCP网络表的名称和地址由用于
DHCP信息的数据存储确定。
dhcp_network(4)
dhcpsvc.conf 存储DHCP守护进程的启动选项和数据存储信息。此文件
决不能手动编辑。使用dhcpconfig 命令可更改启动选项。
dhcpsvc.conf(4)
nsswitch.conf 指定名称服务数据库的地址以及搜索名称服务以查找各种
信息的顺序。配置DHCP服务器时,会读取
nsswitch.conf 文件以获取准确的配置信息。此文件位于
/etc 目录中。
nsswitch.conf(4)
resolv.conf 包含用于解决DNS 查询的信息。在DHCP服务器配置过程
中,会查看此文件以获取有关DNS 域和DNS 服务器的信
息。此文件位于/etc 目录中。
resolv.conf(4)
dhcp.interface 表示将在dhcp.interface 文件名中指定的客户机网络接口上
使用DHCP。例如,存在名为dhcp.qe0 的文件表示将在
qe0 接口上使用DHCP。dhcp.interface 文件可能包含作为
选项传送给用于在客户机上启动DHCP的ifconfig 命令的
各个命令。此文件位于Solaris DHCP客户机系统上的/etc
目录中。
没有特定的手册页,请参见dhcp(5)
interface.dhc 包含从DHCP获取的指定网络端口的配置参数。当删除此
接口的IP 地址租用时,客户机会将当前配置信息高速缓存
至/etc/dhcp/interface.dhc 中。例如,如果在qe0 接口上
使用DHCP,则dhcpagent 会将配置信息高速缓存至
/etc/dhcp/qe0.dhc 中。下次在此接口上启动DHCP时,如
果租用未过期,客户机会请求使用高速缓存的配置。如果
DHCP服务器拒绝此请求,则客户机会启动标准的DHCP
租用协商进程。
没有特定的手册页,请参见
dhcpagent(1M)
dhcpagent 设置dhcpagent 客户机守护进程的参数值。此文件的路径
为/etc/default/dhcpagent。有关参数的信息,请参见
/etc/default/dhcpagent 文件或dhcpagent(1M) 手册页。
dhcpagent(1M)
DHCP 服务使用的文件
432 系统管理指南:IP 服务• 2006 年8 月
表18–2DHCP守护进程和命令使用的文件和表(续)
文件名或表名说明手册页
DHCPinittab 定义DHCP选项代码的各个方面(如数据类型)并指定助
记标签。有关文件语法的更多信息,请参见
dhcp_inittab(4) 手册页。
在客户机上,dhcpinfo 会使用/etc/dhcp/inittab 文件中
的信息来为此信息的读者提供更多有意义的信息。在
DHCP服务器系统上,DHCP守护进程和管理工具会使用
此文件来获取DHCP选项信息。
/etc/dhcp/inittab 文件会替换在先前的发行版中所使用的
/etc/dhcp/dhcptags 文件。第433 页中的“DHCP选项信
息” 提供了有关此替换的更多信息。
dhcp_inittab(4)
DHCP选项信息
以前,DHCP选项信息存储在多个位置,包括服务器的dhcptab 表、客户机的dhcptags 文
件和各种程序的内部表。在Solaris 8 发行版以及更高发行版中,选项信息合并在
/etc/dhcp/inittab 文件中。有关此文件的详细信息,请参见dhcp_inittab(4) 手册页。
Solaris DHCP客户机使用DHCPinittab 文件代替dhcptags 文件。客户机使用此文件可获取
有关在DHCP包中收到的选项代码的信息。DHCP服务器上的in.dhcpd、snoop 和dhcpmgr
程序也将使用inittab 文件。
确定站点是否受到影响
大多数使用Solaris DHCP的站点不会受到转换为/etc/dhcp/inittab 文件这一操作的影响。
如果满足以下所有条件,则站点将会受到影响:
� 计划从Solaris 8 发行版之前的Solaris 发行版进行升级。
� 之前已创建了新的DHCP选项。
� 修改了/etc/dhcp/dhcptags 文件并希望保留更改。
升级时,升级日志会通知您dhcptags 文件已经修改,因此应对DHCPinittab 文件进行更
改。
dhcptags 和inittab 文件之间的差异
inittab 文件比dhcptags 文件包含了更多的信息。inittab 文件使用的语法也不同。
以下是dhcptags 项的一个样例:
33 StaticRt - IPList Static_Routes
33 为在DHCP包中传送的数字代码。StaticRt 为选项名。IPList 表示StaticRt 的数据类型
必须为IP 地址列表。Static_Routes 是一个描述性更强的名称。
DHCP 选项信息
第18 章• DHCP 命令和文件(参考) 433
inittab 文件由说明每个选项的单行记录组成。其格式类似于在dhcptab 中定义符号的格
式。下表说明了inittab 文件的语法。
选项说明
option-name 选项名。选项名在其选项类别中必须是唯一的,不可与标准选项、站点选
项和供应商选项等类别中的其他选项重名。例如,不能有两个同名的站点
选项,不能创建与标准选项名称相同的站点选项。
category 标识选项所属的名称空间。必须为以下名称空间之一:标准、站点、供应
商、字段或内部。
code 当选项在网络中发送时标识此选项。大多数情况下,代码唯一标识选项,
与类别无关。但是,在涉及内部类别(如字段选项或内部选项)的情况
下,代码可能会用于其他目的。代码可能不是全局唯一的。代码在选项类
别中应是唯一的,并且不会与标准字段和站点字段中的代码重名。
type 说明与此选项关联的数据。有效类型为IP、ASCII、Octet、Boolean、
Unumber8、Unumber16、Unumber32、Unumber64、Snumber8、
Snumber16、Snumber32 和Snumber64 等。对数字来说,首字母U或S 表示
该数字为无符号或带符号的数字。末尾数字指明数字中的二进制位数。例
如,Unumber8 即为无符号的8 位二进制数字。类型不区分大小写。
granularity 说明组成此选项的完整值的数据单元的数量。
maximum 说明此选项允许使用的完整值的数量。0 表示一个无穷大的数字。
consumers 说明可使用此信息的程序。使用者应设置为sdmi,其中:
s
snoop
d
in.dhcpd
m
dhcpmgr
i
dhcpinfo
以下是inittab 项的一个样例:
StaticRt - Standard, 33, IP, 2, 0, sdmi
该项介绍了名为StaticRt 的选项。此选项属于标准类别,选项代码为33。期望的数据是一
个可能为无穷大的IP 地址对数量,这是因为类型为IP,粒度为2,最大值为无穷大(0)。此
选项的使用者为sdmi:snoop、in.dhcpd、dhcpmgr 和dhcpinfo。
DHCP 选项信息
434 系统管理指南:IP 服务• 2006 年8 月
将dhcptags 项转换为inittab 项
如果之前向dhcptags 文件中添加了项,则必须向新的inittab 文件中添加对应的项,这样
才能继续使用添加到站点中的选项。以下示例说明如何以inittab 格式表示dhcptags 项的
一个样例。
假定已经为连接到网络的传真机添加了以下dhcptags 项:
128 FaxMchn - IP Fax_Machine
代码128 意味着此选项一定属于站点类别。选项名为FaxMchn,数据类型为IP。
对应的inittab 项可能是:
FaxMchn SITE, 128, IP, 1, 1, sdmi
粒度1 和最大值1 表示此选项应有一个IP 地址。
DHCP 选项信息
第18 章• DHCP 命令和文件(参考) 435
436
IP 安全性
本节重点介绍网络安全。IP 安全体系结构(IPsec) 在包级别保护网络。Internet 密钥管理
(IKE) 管理IPsec 的密钥。由Solaris IP 过滤器提供防火墙。
第4 部分
437
438
IP 安全体系结构(概述)
IP 安全体系结构(IPsec) 为IPv4 和IPv6 网络包中的IP 数据报提供加密保护。
本章包含以下信息:
� 第439 页中的“IPsec 中的新增功能”
� 第440 页中的“IPsec 介绍”
� 第442 页中的“IPsec 包流”
� 第445 页中的“IPsec 安全关联”
� 第445 页中的“IPsec 保护机制”
� 第448 页中的“IPsec 保护策略”
� 第448 页中的“IPsec 中的传输模式和通道模式”
� 第449 页中的“虚拟专用网络和IPsec”
� 第450 页中的“IPsec 和NAT 遍历”
� 第451 页中的“IPsec 和SCTP”
� 第451 页中的“IPsec 和Solaris Zones”
� 第451 页中的“IPsec 实用程序和文件”
� 第452 页中的“Solaris 10 发行版中IPsec 的更改”
有关如何在网络中实现IPsec 的信息,请参见第20 章。有关参考信息,请参见第21 章。
IPsec 中的新增功能
Solaris 10 1/06: 在此发行版中,IKE(Internet 密钥交换)与NAT-Traversal 支持完全兼容,如
RFC 3947 和RFC 3948 中所述。IKE 操作使用加密框架中的PKCS #11 库,以提高性能。
加密框架为使用metaslot 的应用程序提供了softtoken 密钥库。IKE 使用metaslot 时,可以选
择在磁盘上、已连接的板上或在softtoken 密钥库中存储密钥。
� 有关如何使用softtoken 密钥库的信息,请参见cryptoadm(1M) 手册页。
� 有关Solaris 新增功能的完整列表以及Solaris 发行版的描述,请参见《Solaris 10 What’s
New》。
19 第1 9 章
439
IPsec 介绍
IPsec 通过验证包、加密包或者同时执行这两种操作来保护IP 包。IPsec 在IP 模块内部执
行,刚好在应用层之下。因此,Internet 应用程序可以直接利用IPsec,而不必配置自身以使
用IPsec。若使用得当,IPsec 是保证网络通信安全的有效工具。
IPsec 保护涉及五个主要组件:
� 安全协议-IP 数据报保护机制。authentication header(验证头) (AH) 对IP 包进行签名
并确保完整性。数据报的内容没有加密,但是可以向接收者保证包的内容尚未更改,还
可以向接收者保证包已由发送者发送。encapsulating security payload, ESP(封装安全有效
负荷)对IP 数据进行加密,因此在包传输过程中会遮蔽内容。ESP 还可以通过验证算法
选项来确保数据的完整性。
� 安全关联数据库(security associations database, SADB)-将安全协议与IP 目标地址和索
引号进行关联的数据库。索引号称为security parameter index, SPI(安全参数索引)。这
三个元素(安全协议、目标地址和SPI)会唯一标识合法的IPsec 包。此数据库确保到达
包目的地的受保护包可由接收者识别。接收者还可使用数据库中的信息解密通信、检验
包未曾受到更改、重新组装包并将包发送到其最终目的地。
� 密钥管理-加密算法和SPI 的密钥的生成和分发。
� 安全机制-保护IP 数据报中数据的验证算法和加密算法。
� 安全策略数据库(Security policy database, SPD)-该数据库用于指定将应用到某个包上的
保护级别。SPD 过滤IP 通信来确定应该如何处理包。包可能被废弃,可以毫无阻碍地进
行传送,或者也可以受到IPsec 的保护。对于外发包,SPD 和SADB 确定要应用的保护
级别。对于传入包,SPD 帮助确定包的保护级别是否可接受。如果包受IPsec 保护,将
在对包进行解密和验证之后参考SPD。
调用IPsec 时,IPsec 将安全机制应用于发往IP 目标地址的IP 数据报。接收者使用其SADB
中的信息来检验到达的包是否合法并对其进行解密。应用程序也可以调用IPsec,以便在每
个套接字级别将安全机制应用于IP 数据报。请注意,套接字的行为不同于端口:
� 每个套接字的SA覆盖其在SPD 中的相应端口项。
� 另外,如果端口上的套接字为连接状态,且随后对此端口应用IPsec 策略,则使用此套
接字的通信不受IPsec 保护。
当然,将IPsec 策略应用于端口之后,在此端口打开的套接字受IPsec 策略保护。
IPsec RFC
Internet 工程任务组(Internet Engineering Task Force, IETF) 已经发布了许多介绍IP 层安全体
系结构的注释请求(Requests for Comment, RFC)。所有RFC 均受Internet 协会版权保护。有
关指向RFC 的链接,请参见。以下RFC 列表包含更为常见的IP 安全参考
:
� RFC 2411,"IP Security Document Roadmap",1998 年11 月
� RFC 2401,"Security Architecture for the Internet Protocol",1998 年11 月
IPsec 介绍
440 系统管理指南:IP 服务• 2006 年8 月
� RFC 2402,"IP Authentication Header",1998 年11 月
� RFC 2406,"IP Encapsulating Security Payload (ESP)",1998 年11 月
� RFC 2408,"Internet Security Association and Key Management Protocol (ISAKMP)",1998 年
11 月
� RFC 2407,"The Internet IP Security Domain of Interpretation for ISAKMP",1998 年11 月
� RFC 2409,"The Internet Key Exchange (IKE) ",1998 年11 月
� RFC 3554,"On the Use of Stream Control Transmission Protocol (SCTP) with IPsec",2003 年
7 月[未在Solaris 10 发行版中实现]
IPsec 术语
IPsec RFC 定义许多用于识别何时在系统上实现IPsec 的术语。下表列出了IPsec 术语,提供
了常用的首字母缩写词并定义了每个术语。有关用于密钥协商的术语列表,请参见表
22–1。
表19–1 IPsec 术语、首字母缩写词和用法
IPsec 术语
首字母缩略
词定义
Security association
(安全关联)
SA 网络中两个节点之间的唯一连接。此连接由三个元素定义:安全协
议、安全参数索引和IP 目标。IP 目标可以是IP 地址或套接字。
Security associations
database(安全关联
数据库)
SADB 包含所有活动的安全关联的数据库。
Security parameter
index(安全参数索
引)
SPI 安全关联的索引值。SPI 是可以将具有相同IP 目标和安全协议的
SA区分开来的32 位的值。
Security policy
database(安全策略
数据库)
SPD 确定外发包和传入包是否具有指定的保护级别的数据库。
Key exchange(密钥
交换)
生成非对称加密算法的密钥的过程。两种主要的方法为RSA协议
和Diffie-Hellman 协议。
Diffie-Hellman
protocol
(Diffie-Hellman 协
议)
DH 涉及密钥生成和密钥验证的密钥交换协议。通常称为经过验证的密
钥交换。
RSAprotocol(RSA
协议)
RSA 一种涉及密钥生成和密钥分发的密钥交换协议。此协议以其三个创
建者Rivest、Shamir 和Adleman 命名。
阅读(438) | 评论(0) | 转发(0) |
