IPsec 中的新增功能

Solaris 10 4/09：从此发行版开始，服务管理工具 (Service Management Facility, SMF) 将 IPsec 作为一组服务来管理。

缺省情况下，在系统引导时，将启用以下两个 IPsec 服务：

• svc:/network/ipsec/policy:default

• svc:/network/ipsec/ipsecalgs:default

缺省情况下，在系统引导时，将禁用以下密钥管理服务：

• svc:/network/ipsec/manual-key:default

• svc:/network/ipsec/ike:default

要在 SMF 下激活 IPsec 策略，请执行以下步骤：

1. 将 IPsec 策略项添加到 ipsecinit.conf 文件。

2. 配置 Internet 密钥交换 (Internet Key Exchange, IKE) 或手动配置密钥。

3. 刷新 IPsec 策略服务。

4. 启用密钥管理服务。

有关 SMF 的更多信息，请参见《系统管理指南：基本管理》中的第 18  章 “管理服务（概述）”。另请参见 smf(5) 和 svcadm(1M) 手册页。

从此发行版开始，ipsecconf 和 ipseckey 命令具有 -c 选项，以用于检查它们各自配置文件的语法。另外，还提供了网络 IPsec 管理权限配置文件以用于管理 IPsec 和 IKE。

Solaris 10 7/07：从此发行版开始，IPsec 以隧道模式全面实现隧道，并且支持隧道的实用程序有所修改。

• IPsec 在虚拟专用网络 (virtual private network, VPN) 中以隧道模式实现了隧道。在隧道模式下，IPsec 支持位于一个 NAT 后的多个客户机。在隧道模式下，IPsec 可与其他供应商提供的 IP-in-IP 隧道实现方式交互使用。IPsec 继续以传输模式支持隧道，所以它与早期的 Solaris 发行版兼容。

• 创建隧道的语法已得到简化。为了管理 IPsec 策略，扩展了 ipsecconf 命令。对管理 IPsec 策略而言，ifconfig 命令已过时。

• 从此发行版起，删除了 /etc/ipnodes 文件。可使用 /etc/hosts 文件来配置网络 IPv6 地址。

Solaris 10 1/06：从此发行版开始，IKE 与 NAT 遍历支持完全兼容，如 RFC 3947 和 RFC 3948 中所述。IKE 操作使用加密框架中的 PKCS #11 库，从而提高了性能。

加密框架为使用 metaslot 的应用程序提供了 softtoken 密钥库。IKE 使用 metaslot 时，可以选择在磁盘上、已连接的板上或在 softtoken 密钥库中存储密钥。

• 有关如何使用 softtoken 密钥库的信息，请参见 cryptoadm(1M) 手册页。

• 有关 Solaris 新增功能的完整列表和 Solaris 发行版的说明，请参见《Oracle Solaris 10 9/10 新增功能》。