ipsecconf 命令

您可以使用 ipsecconf 命令为主机配置 IPsec 策略。当运行此命令来配置策略时，系统会在内核中创建 IPsec 策略项。系统使用这些项来检查所有传入和外发 IP 数据报的策略。转发的数据报不受使用此命令添加的策略检查的约束。ipsecconf 命令也可配置安全策略数据库 (security policy database, SPD)。

• 有关如何保护转发的包的信息，请参见 ifconfig(1M) 和 tun(7M)。

• 有关 IPsec 策略选项，请参见 ipsecconf(1M) 手册页。

• 有关如何使用 ipsecconf 命令保护系统间通信的说明，请参见配置 IKE（任务列表）。

您必须成为超级用户或承担等效角色，才能调用 ipsecconf 命令。此命令接受保护双向通信的项，同时也接受仅保护单向通信的项。

具有本地地址和远程地址格式的策略项可以借助单个策略项保护双向通信。例如，如果没有为指定的主机指定方向，则包含模式 laddr host1 和 raddr host2 的项会保护双向通信。因此，对于每台主机，只需一个策略项。

具有源地址到目标地址格式的策略项仅保护单向通信。例如，模式为 saddr host1 daddr host2 的策略项只保护传入通信或外发通信，不同时保护这两个方向的通信。因此，要保护双向通信，需要向 ipsecconf 命令传递另一个项，即 saddr host2 daddr host1。

要确保 IPsec 策略在引导计算机时处于活动状态，可以创建一个 IPsec 策略文件 /etc/inet/ipsecinit.conf。此文件在网络服务启动时读取。有关如何创建 IPsec 策略文件的说明，请参见使用 IPsec 保护通信（任务列表）。

从 Solaris 10 4/09 发行版开始，借助 -c 选项，ipsecconf 命令可检查作为参数提供的 IPsec 策略文件的语法。

由 ipsecconf 命令添加的策略项在系统重新引导后不会保留。要确保 IPsec 策略在系统引导时保持活动状态，请将策略项添加到 /etc/inet/ipsecinit.conf 文件。在当前发行版中，请刷新或启用 policy 服务。在 Solaris 10 4/09 发行版之前的发行版中，请重新引导或使用 ipsecconf 命令。例如，请参见使用 IPsec 保护通信（任务列表）。