如何管理 IKE 和 IPsec 服务
以下步骤提供了最有可能针对 IPsec、IKE 和手动密钥管理使用 SMF 服务的情况。缺省情况下,policy 和 ipsecalgs 服务处于启用状态,而 ike 和 manual-key 服务处于禁用状态。
-
要管理 IPsec 策略,请执行以下操作之一:
-
将新策略添加到 ipsecinit.conf 文件后,刷新 policy 服务。
# svcadm refresh svc:/network/ipsec/policy
-
更改服务属性的值后,查看属性值,然后刷新并重新启动 policy 服务。
# svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svcprop -p config/config_file policy /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy
-
-
要自动管理密钥,请执行以下操作之一:
-
将项添加到 /etc/inet/ike/config 文件后,启用 ike 服务。
# svcadm enable svc:/network/ipsec/ike
-
更改 /etc/inet/ike/config 文件中的项后,刷新 ike 服务。
# svcadm refresh svc:/network/ipsec/ike
-
更改服务属性的值后,查看属性值,然后刷新并重新启动服务。
# svccfg -s ike setprop config/admin_privilege=modkeys # svcprop -p config/admin_privilege ike modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike
-
要停止 ike 服务,请将其禁用。
# svcadm disable svc:/network/ipsec/ike
-
-
要手动管理密钥,请执行以下操作之一:
-
将项添加到 /etc/inet/secret/ipseckeys 文件后,启用 manual-key 服务。
# svcadm enable svc:/network/ipsec/manual-key
-
更改 ipseckeys 文件后,刷新服务。
# svcadm refresh manual-key
-
更改服务属性的值后,查看属性值,然后刷新并重新启动服务。
# svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svcprop -p config/config_file manual-key /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key
-
要阻止手动密钥管理,请禁用 manual-key 服务。
# svcadm disable svc:/network/ipsec/manual-key
-
-
如果修改 IPsec 协议和算法表,请刷新 ipsecalgs 服务。
# svcadm refresh svc:/network/ipsec/ipsecalgs
故障排除
使用 svcs service 命令找到服务的状态。如果服务处于 maintenance 模式,请遵循 svcs -x service 命令输出的调试建议。
- © 2010, Oracle Corporation and/or its affiliates