其他实用程序的 IPsec 扩展

ifconfig 命令具有用来管理隧道接口上的 IPsec 策略的选项。snoop 命令可以解析 AH 头和 ESP 头。

ifconfig 命令和 IPsec

在 Solaris 10、Solaris 10 7/05、Solaris 10 1/06 和 Solaris 10 11/06 发行版中： 为了支持 IPsec，ifconfig 命令提供以下安全选项。在 Solaris 10 7/07 发行版中，这些安全选项由 ipsecconf 命令处理。

• auth_algs

• encr_auth_algs

• encr_algs

必须在一次调用中为隧道指定所有 IPsec 安全选项。例如，如果只使用 ESP 保护通信，则一次使用两个安全选项配置隧道 ip.tun0，如下所示：

# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5

同样，ipsecinit.conf 项将使用两个安全选项一次性配置隧道，如下所示：

# WAN traffic uses ESP with AES and MD5.
   {} ipsec {encr_algs aes encr_auth_algs md5}

auth_algs 安全选项

此选项使用指定的验证算法为隧道启用 IPsec AH。auth_algs 选项的格式如下所示：

auth_algs authentication-algorithm

对于算法，您可以通过指定一个数字或一个算法名称（包括参数 any）来表示没有特定的算法首选项。要禁用隧道安全性，请指定以下选项：

auth_algs none

要获得可用验证算法的列表，请运行 ipsecalgs 命令。

auth_algs 选项不能用于 NAT 遍历。有关更多信息，请参见IPsec 和 NAT 遍历。

encr_auth_algs 安全选项

此选项使用指定的验证算法为隧道启用 IPsec ESP。encr_auth_algs 选项的格式如下所示：

encr_auth_algs authentication-algorithm

对于算法，您可以通过指定一个数字或一个算法名称（包括参数 any）来表示没有特定的算法首选项。如果指定一个 ESP 加密算法，但是未指定验证算法，则 ESP 验证算法的缺省值为参数 any。

要获得可用验证算法的列表，请运行 ipsecalgs 命令。

encr_algs 安全选项

此选项使用指定的加密算法为隧道启用 IPsec ESP。encr_algs 选项的格式如下所示：

encr_algs encryption-algorithm

对于算法，您可以指定一个数字或一个算法名称。要禁用隧道安全性，请指定以下选项：

encr_algs none

如果指定一个 ESP 验证算法，但是未指定加密算法，则 ESP 加密算法的缺省值为参数 null。

要获得可用加密算法的列表，请运行 ipsecalgs 命令。

snoop 命令和 IPsec

snoop 命令可以解析 AH 头和 ESP 头。由于 ESP 对自己的数据进行加密，因此，snoop 命令不能查看受 ESP 保护的加密头。AH 不会对数据进行加密。因此，可以使用 snoop 命令来检查受 AH 保护的通信。此命令的 -V 选项显示何时对包使用 AH。有关更多详细信息，请参见 snoop(1M) 手册页。

有关受保护包中的详细 snoop 输出样例，请参见如何检验包是否受 IPsec 保护。