系统管理员指南：IP服务 28-lovegqin-ChinaUnix博客

lovegqingqin.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

lovegqin

博客访问： 1299667
博文数量： 554
博客积分： 10425
博客等级：上将
技术积分： 7555
用户组：普通用户
注册时间： 2006-11-09 09:49

文章分类

全部博文（554）

app（2）
nagios（8）
历史（2）
我的鱼（1）
Data_Base（51）

mysql（51）
Solaris（475）
shell（14）
情感（0）
General（0）
未分配的博文（1）

文章存档

2012年（1）

2011年（1）

2009年（8）

2008年（544）

我的朋友

最近访客

推荐博文

系统管理员指南：IP服务 28

分类：

2008-04-10 17:09:31

创建移动IP 配置文件
第28 章• 管理移动IP（任务） 635
ReverseTunnel =
ReverseTunnelRequired =
注– 对于提供移动IP 服务的本地主机上的每个接口，必须包括一个不同的Advertisements
部分。
如何配置GlobalSecurityParameters 部分
第661 页中的“GlobalSecurityParameters 部分”提供了用于此部分的标签和值的说明。
编辑/etc/inet/mipagent.conf 文件并使用配置所需的值添加或更改以下各行：
[GlobalSecurityParameters]
MaxClockSkew = n
HA-FAauth =
MN-FAauth =
Challenge =
KeyDistribution = files
如何配置Pool 部分
第662 页中的“Pool 部分”提供了用于此部分的标签和值的说明：
编辑/etc/inet/mipagent.conf 文件
使用配置所需的值添加或更改以下各行：
[Pool pool-identifier]
BaseAddress = IP-address
Size = size
◗
1
2
创建移动IP 配置文件
636 系统管理指南：IP 服务• 2006 年8 月
如何配置SPI 部分
第663 页中的“SPI 部分”提供了用于此部分的标签和值的说明。
编辑/etc/inet/mipagent.conf 文件。
使用配置所需的值添加或更改以下各行：
[SPI SPI-identifier]
ReplayMethod =
Key = key
注– 对于所部署的每个安全上下文，必须包括一个不同的SPI 部分。
如何配置Address 部分
第664 页中的“Address 部分”提供了用于此部分的标签和值的说明。
编辑/etc/inet/mipagent.conf 文件。
使用配置所需的值添加或更改以下各行：
对于移动节点，使用以下命令：
[Address address]
Type = node
SPI = SPI-identifier
对于代理，使用以下命令：
[Address address]
Type = agent
SPI = SPI-identifier
IPsecRequest = action {properties} [: action {properties}]
IPsecReply = action {properties} [: action {properties}]
IPsecTunnel = action {properties} [: action {properties}]]]
其中，action 和{properties} 是在ipsec(7P) 手册页中定义的任何操作和相关属性。
1
2
1
2
创建移动IP 配置文件
第28 章• 管理移动IP（任务） 637
注– 以前配置的SPI 与RFC 2002 所需的MD5保护机制相对应，而不与IPsec 使用的SPI
相对应。有关IPsec 的更多信息，请参见第19 章和第20 章。另请参见ipsec(7P) 手册
页。
对于由NAI 标识的移动节点，使用以下命令：
[Address NAI]
Type = Node
SPI = SPI-identifier
Pool = pool-identifier
对于缺省的移动节点，使用以下命令：
[Address Node-Default]
Type = Node
SPI = SPI-identifier
Pool = pool-identifier
修改移动IP 配置文件（任务列表）
任务说明参考
修改General 部分。使用mipagentconfig change 命令可以
更改移动IP 配置文件的General 部分中
标签的值。
第639 页中的“如何修改General 部分
”
修改Advertisements 部分。使用mipagentconfig change 命令可以
更改移动IP 配置文件的
Advertisements 部分中标签的值。
第640 页中的“如何修改
Advertisements 部分”
修改GlobalSecurityParameters 部分。使用mipagentconfig change 命令可以
更改移动IP 配置文件的
GlobalSecurityParameters 部分中标签
的值。
第640 页中的“如何修改
GlobalSecurityParameters 部分”
修改Pool 部分。使用mipagentconfig change 命令可以
更改移动IP 配置文件的Pool 部分中标
签的值。
第641 页中的“如何修改Pool 部分”
修改移动IP 配置文件（任务列表）
638 系统管理指南：IP 服务• 2006 年8 月
修改SPI 部分。使用mipagentconfig change 命令可以
更改移动IP 配置文件的SPI 部分中标签
的值。
第641 页中的“如何修改SPI 部分”
修改Address 部分。使用mipagentconfig change 命令可以
更改移动IP 配置文件的Address 部分中
标签的值。
第642 页中的“如何修改Address 部分
”
添加或删除参数。使用mipagentconfig add 或delete 命
令，可以在移动IP 配置文件的任何部
分中添加新参数、标签和值，或者删除
现有的参数、标签和值。
第643 页中的“如何添加或删除配置文
件参数”
显示参数目标的当前设置。使用mipagentconfig get 命令可以显示
移动IP 配置文件中任何部分的当前设
置。
第644 页中的“如何显示配置文件中的
当前参数值”
修改移动IP 配置文件
本节介绍如何使用mipagentconfig 命令来修改移动IP 配置文件，还介绍如何显示参数目标
的当前设置。
第668 页中的“配置移动IP 代理”提供了有关mipagentconfig 命令用法的概念性说明。您
还可以查看mipagentconfig(1M) 手册页。
如何修改General 部分
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在General 部分中修改的每个标签，在命令行上键入以下命令：
# mipagentconfig change
修改General 部分中的参数
以下示例说明如何更改配置文件General 部分中的版本号：
# mipagentconfig change version 2
1
2
示例28–1
修改移动IP 配置文件
第28 章• 管理移动IP（任务） 639
如何修改Advertisements 部分
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在Advertisements 部分中修改的每个标签，键入以下命令：
# mipagentconfig change adv device-name
例如，对于设备hme0，如果要将代理的已通告的生命周期更改为300 秒，请使用以下命令
：
# mipagentconfig change adv hme0 AdvLifetime 300
修改Advertisements 部分
以下示例说明如何更改配置文件Advertisements 部分中的其他参数：
# mipagentconfig change adv hme0 HomeAgent yes
# mipagentconfig change adv hme0 ForeignAgent no
# mipagentconfig change adv hme0 PrefixFlags no
# mipagentconfig change adv hme0 RegLifetime 300
# mipagentconfig change adv hme0 AdvFrequency 4
# mipagentconfig change adv hme0 ReverseTunnel yes
如何修改GlobalSecurityParameters 部分
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在GlobalSecurityParameters 部分中修改的每个标签，键入以下命令：
# mipagentconfig change
例如，如果启用了内部代理和外部代理验证，请使用以下命令：
# mipagentconfig change HA-FAauth yes
1
2
示例28–2
1
2
修改移动IP 配置文件
640 系统管理指南：IP 服务• 2006 年8 月
修改GlobalSecurityParameters 部分
以下示例说明如何更改配置文件GlobalSecurityParameters 部分中的其他参数：
# mipagentconfig change MaxClockSkew 200
# mipagentconfig change MN-FAauth yes
# mipagentconfig change Challenge yes
# mipagentconfig change KeyDistribution files
如何修改Pool 部分
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在Pool 部分中修改的每个标签，键入以下命令：
# mipagentconfig change Pool pool-identifier
修改Pool 部分
以下示例显示用来将基本地址更改为192.168.1.1 的命令以及用来将Pool 10 的大小更改为
100 的命令：
# mipagentconfig change Pool 10 BaseAddress 192.168.1.1
# mipagentconfig change Pool 10 Size 100
如何修改SPI 部分
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在SPI 部分中修改的每个标签，键入以下命令：
# mipagentconfig change SPI SPI-identifier
例如，如果要将SPI 257 的密钥更改为5af2aee39ff0b332，请使用以下命令：
# mipagentconfig change SPI 257 Key 5af2aee39ff0b332
示例28–3
1
2
示例28–4
1
2
修改移动IP 配置文件
第28 章• 管理移动IP（任务） 641
修改SPI 部分
以下示例说明如何更改配置文件SPI 部分中的ReplayMethod 标签。
# mipagentconfig change SPI 257 ReplayMethod timestamps
如何修改Address 部分
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在Address 部分中修改的每个标签，键入以下命令：
# mipagentconfig change addr [NAI | IPaddr | node-default]
有关三种配置方法（NAI、IP 地址和节点缺省值）的说明，请参见第664 页中的“Address
部分”。
例如，如果要将IP 地址10.1.1.1 的SPI 更改为258，请使用以下命令：
# mipagentconfig change addr 10.1.1.1 SPI 258
修改Address 部分
以下示例说明如何更改在样例配置文件的Address 部分中提供的其他参数：
# mipagentconfig change addr 10.1.1.1 Type agent
# mipagentconfig change addr 10.1.1.1 SPI 259
# mipagentconfig change addr Type node
# mipagentconfig change addr SPI 258
# mipagentconfig change addr Pool 2
# mipagentconfig change addr node-default SPI 259
# mipagentconfig change addr node-default Pool 3
# mipagentconfig change addr 10.68.30.36 Type agent
# mipagentconfig change addr 10.68.30.36 SPI 260
# mipagentconfig change IPsecRequest apply {auth_algs md5 sa shared}
示例28–5
1
2
示例28–6
修改移动IP 配置文件
642 系统管理指南：IP 服务• 2006 年8 月
如何添加或删除配置文件参数
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要在指定部分中添加或删除的每个标签，键入相应的命令：
对于General 部分，使用以下命令：
# mipagentconfig [add | delete]
对于Advertisements 部分，使用以下命令：
# mipagentconfig [add | delete] adv device-name
注– 还可以通过键入以下命令来添加接口：
# mipagentconfig add adv device-name
在本例中，向接口指定的是缺省值（对于外部代理和内部代理均适用）。
对于GlobalSecurityParameters 部分，使用以下命令：
# mipagentconfig [add | delete]
对于Pool 部分，使用以下命令：
# mipagentconfig [add | delete] Pool pool-identifier
对于SPI 部分，使用以下命令：
# mipagentconfig [add | delete] SPI SPI-identifier
对于Address 部分，使用以下命令：
# mipagentconfig [add | delete] addr [NAI | IP-address | node-default] \

注– 请勿创建相同的Advertisements、Pool、SPI 和Address 部分。
修改文件参数
例如，要创建新的地址池Pool 11，它的基本地址为192.167.1.1，大小为100，请使用下列
命令：
1
2
示例28–7
修改移动IP 配置文件
第28 章• 管理移动IP（任务） 643
# mipagentconfig add Pool 11 BaseAddress 192.167.1.1
# mipagentconfig add Pool 11 size 100
删除SPI
以下示例说明如何删除SPI 安全参数SPI 257：
# mipagentconfig delete SPI 257
如何显示配置文件中的当前参数值
可以使用mipagentconfig get 命令来显示与参数目标相关联的当前设置。
在要启用移动IP 的系统上承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
对于要显示其设置的每个参数，键入以下命令：
# mipagentconfig get [ | ]
例如，如果要显示hme0 设备的通告设置，请使用以下命令：
# mipagentconfig get adv hme0
因此，可能会显示以下输出：
[Advertisements hme0]
HomeAgent = yes
ForeignAgent = yes
使用mipagentconfig get 命令显示参数值
以下示例显示结合使用mipagentconfig get 命令和其他参数目标的结果：
# mipagentconfig get MaxClockSkew
[GlobalSecurityParameters]
MaxClockSkew=300
示例28–8
1
2
示例28–9
修改移动IP 配置文件
644 系统管理指南：IP 服务• 2006 年8 月
# mipagentconfig get HA-FAauth
[GlobalSecurityParameters]
HA-FAauth=no
# mipagentconfig get MN-FAauth
[GlobalSecurityParameters]
MN-FAauth=no
# mipagentconfig get Challenge
[GlobalSecurityParameters]
Challenge=no
# mipagentconfig get Pool 10
[Pool 10]
BaseAddress=192.168.1.1
Size=100
# mipagentconfig get SPI 257
[SPI 257]
Key=11111111111111111111111111111111
ReplayMethod=none
# mipagentconfig get SPI 258
[SPI 258]
修改移动IP 配置文件
第28 章• 管理移动IP（任务） 645
Key=15111111111111111111111111111111
ReplayMethod=none
# mipagentconfig get addr 10.1.1.1
[Address 10.1.1.1]
SPI=258
Type=agent
# mipagentconfig get addr 192.168.1.200
[Address 192.168.1.200]
SPI=257
Type=node# mipagentconfig get addr 10.1.1.1
[Address 10.1.1.1]
Type=agent
SPI=258
IPsecRequest = apply {auth_algs md5 sa shared}
IPsecReply = permit {auth_algs md5}
IPsecTunnel = apply {encr_algs 3des sa shared}
显示移动代理的状态
可以使用mipagentstat 命令来显示外部代理的访问者列表和内部代理的绑定表。第668 页
中的“移动IP 的移动代理状态”提供了有关mipagentstat 命令的概念性说明。您还可以查
看mipagentstat(1M) 手册页。
显示移动代理的状态
646 系统管理指南：IP 服务• 2006 年8 月
如何显示移动代理的状态
在要启用移动IP 的系统上成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
显示移动代理的状态。
# mipagentstat options
-f 显示外部代理访问者列表中活动移动节点的列表。
-h 显示内部代理绑定表中活动移动节点的列表。
-p 显示代理的移动代理对等方的安全关联列表。
显示移动代理的状态
以下示例说明如何显示已向外部代理注册的所有移动节点的访问者列表：
# mipagentstat -f
因此，将显示类似以下内容的输出：
Mobile Node Home Agent Time (s) Time (s) Flags
Granted Remaining
--------------- -------------- ------------ --------- -----
foobar.xyz.com ha1.xyz.com 600 125 .....T.
10.1.5.23 10.1.5.1 1000 10 .....T.
以下示例说明如何显示外部代理的安全关联：
# mipagentstat -p
因此，将显示类似以下内容的输出：
Foreign ..... Security Association(s).....
Agent Requests Replies FTunnel RTunnel
---------------------- -------- -------- -------- --------
forn-agent.eng.sun.com AH AH ESP ESP
1
2
示例28–10
显示移动代理的状态
第28 章• 管理移动IP（任务） 647
以下示例说明如何显示内部代理的安全关联：
# mipagentstat -fp
因此，将显示类似以下内容的输出：
Home ..... Security Association(s) .....
Agent Requests Replies FTunnel RTunnel
---------------------- -------- -------- -------- --------
home-agent.eng.sun.com AH AH ESP ESP
ha1.xyz.com AH,ESP AH AH,ESP AH,ESP
显示外部代理的移动路由
可以使用netstat 命令来显示有关由正向通道和反向通道创建的特定于源的路由的其他信
息。有关此命令的更多信息，请参见netstat(1M) 手册页。
如何显示外部代理的移动路由
在要启用移动IP 的系统上成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
显示移动路由。
# netstat -rn
显示外部代理的移动路由
以下示例显示使用反向通道的外部代理的路由：
Routing Table: IPv4 Source-Specific
Destination In If Source Gateway Flags Use Out If
-------------- ------- ------------ --------- ----- ---- -------
10.6.32.11 ip.tun1 -- 10.6.32.97 UH 0 hme1
1
2
示例28–11
显示外部代理的移动路由
648 系统管理指南：IP 服务• 2006 年8 月
-- hme1 10.6.32.11 -- U 0 ip.tun1
第一行指示目标IP 地址10.6.32.11 和传入接口ip.tun1 选择hme1 作为转发包的接口。第二
行指示源自接口hme1 和源地址10.6.32.11 的任何包都必须转发到ip.tun1。
显示外部代理的移动路由
第28 章• 管理移动IP（任务） 649
650
移动IP 文件和命令（参考）
本章介绍移动IP 的Solaris 实现所提供的组件。要使用移动IP，必须首先使用本章中介绍的
参数和命令来配置移动IP 配置文件。
本章包含以下信息：
第651 页中的“Solaris 移动IP 实现的概述”
第652 页中的“移动IP 配置文件”
第668 页中的“配置移动IP 代理”
第668 页中的“移动IP 的移动代理状态”
第670 页中的“移动IP 的状态信息”
第670 页中的“移动IP 的netstat 扩展”
第671 页中的“移动IP 的snoop 扩展”
Solaris 移动IP 实现的概述
移动代理软件结合了内部代理和外部代理功能。Solaris 移动IP 软件不提供客户机移动节
点，而仅提供代理功能。每个可支持移动的网络至少应有一台运行该软件的静态（非移
动）主机。
Solaris 移动IP 实现中可支持下列RFC 中所述的功能：
RFC 1918，"Address Allocation for Private Internets"
()
RFC 2002，"IP Mobility Support"（仅限代理）
()
RFC 2003，"IP EncapsulationWithin IP"
()
RFC 2794，"Mobile IP Network Access Identifier Extension for IPv4"
()
RFC 3012，"Mobile IPv4 Challenge/Response Extensions"
()
RFC 3024，"Reverse Tunneling for Mobile IP"
()
29 第2 9 章
651
基本移动IP 协议(RFC 2002) 无法解决可伸缩密钥分发的问题，它将密钥分发视为正交问
题。Solaris 移动IP 软件仅使用在配置文件中指定的手动配置的密钥。
Solaris 移动IP 实现中不支持下列RFC 中所述的功能：
RFC 1701，"General Routing Encapsulation"
()
RFC 2004，"Minimal EncapsulationWithin IP"
()
Solaris 移动IP 实现中不支持下列功能：
内部代理将多点传送流量或广播流量转发到正在访问外部网络的移动节点的外部代理
通过反向通道路由广播数据报和多点传送数据报
专用转交地址或专用内部代理地址
有关其他信息，请参见mipagent(1M) 手册页。
移动IP 配置文件
mipagent 命令在启动时会从/etc/inet/mipagent.conf 配置文件中读取配置信息。移动IP 使
用/etc/inet/mipagent.conf 配置文件来初始化移动IP 移动代理。配置和部署移动代理之
后，移动代理会定期发出路由器通告，并响应路由器搜索请求消息以及移动IP 注册消息。
有关文件属性的说明，请参见mipagent.conf(4) 手册页。有关此文件的用法说明，请参见
mipagent(1M) 手册页。
配置文件的格式
移动IP 配置文件由多个部分组成。每一部分都有一个唯一的名称并且用方括号括起来。每
一部分包含一个或多个标签。可以使用以下格式为标签赋值：
[Section_name]
Label-name = value-assigned
第659 页中的“配置文件的部分和标签”介绍了各部分的名称、标签和可能值。
样例配置文件
缺省的Solaris 安装在/etc/inet 目录中提供了下列样例配置文件：
mipagent.conf-sample 包含同时提供外部代理功能和内部代理功能的移动IP 代理的样
例配置
mipagent.conf.fa-sample 包含仅提供外部代理功能的移动IP 代理的样例配置
移动IP 配置文件
652 系统管理指南：IP 服务• 2006 年8 月
mipagent.conf.ha-sample 包含仅提供内部代理功能的移动IP 代理的样例配置
这些样例配置文件包含移动节点的地址和安全设置。必须首先创建一个名为mipagent.conf
的配置文件并将其放在/etc/inet 目录中，然后才能实现移动IP。此文件包含可满足移动
IP 实现要求的配置设置。另外，还可以选择其中一个样例配置文件，使用您的地址和安全
设置对其进行修改，然后将其复制到/etc/inet/mipagent.conf 中。
有关更多信息，请参见第634 页中的“如何创建移动IP 配置文件”。
mipagent.conf-sample 文件
以下列表显示了包含在mipagent.conf-sample 文件中的部分、标签和值。第659 页中的“
配置文件的部分和标签”介绍了语法、部分、标签和值。
[General]
Version = 1.0 # version number for the configuration file. (required)
[Advertisements hme0]
HomeAgent = yes
ForeignAgent = yes
PrefixFlags = yes
AdvertiseOnBcast = yes
RegLifetime = 200
AdvLifetime = 200
AdvFrequency = 5
ReverseTunnel = no
ReverseTunnelRequired = no
[GlobalSecurityParameters]
MaxClockSkew = 300
HA-FAauth = yes

以上文章转自于： http://developers.sun.com.cn/

阅读(592) | 评论(0) | 转发(0) |

上一篇：系统管理员指南：IP服务 27

下一篇：系统管理员指南：IP服务 32

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6