配置有标签 IPsec（任务列表）

以下任务列表介绍了用于将标签添加到 IPsec 保护中的任务。

任务	说明	参考
结合使用 Trusted Extensions 和 IPsec。	将标签添加到 IPsec 保护。	如何在多级别 Trusted Extensions 网络中应用 IPsec 保护
通过不可信网络结合使用 Trusted Extensions 和 IPsec。	通过无标签网络传送有标签 IPsec 包。	如何通过不可信网络配置通道

如何在多级别 Trusted Extensions 网络中应用 IPsec 保护

在此过程中，在两个 Trusted Extensions 系统上配置 IPsec 以处理以下情况：

这两个系统分别为 enigma 和 partym，都是在多级别网络中运行的多级别 Trusted Extensions 系统。
对应用程序数据进行加密和保护，以防在网络中进行未经授权的更改。
数据的安全标签以 CIPSO IP 选项的形式显示，供 enigma 和 partym 系统之间路径中的多级别路由器和安全设备使用。
enigma 和 partym 交换的安全标签受到保护，以免受到未经授权的更改。

开始之前

您是全局区域中的 root 角色。

将 enigma 和 partym 主机添加到 CIPSO 安全模板中。
按照为主机和网络设置标签（任务列表）中的过程进行操作。使用主机类型为 CIPSO 的模板。
为 enigma 和 partym 系统配置 IPsec。
有关过程，请参见《Oracle Solaris 管理：IP 服务》中的"如何使用 IPsec 保证两个系统之间的通信安全"。将 IKE 用于密钥管理，如以下步骤中所述。

将标签添加到 IKE 协商。

按照《Oracle Solaris 管理：IP 服务》中的"如何使用预先共享的密钥配置 IKE"中的过程进行操作，然后修改 ike/config 文件，如下所示：

将关键字 label_aware、multi_label 和 wire_label inner 添加到 enigma 系统的 /etc/inet/ike/config 文件中。

生成的文件将类似于以下内容。突出显示标签添加项。

    ### ike/config file on enigma, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
  #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
  ## The rule to communicate with partym
      # Label must be unique
    { label "enigma-partym"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label inner
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
    }

将相同关键字添加到 partym 系统的 ike/config 文件中。

    ### ike/config file on partym, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with enigma
    # Label must be unique
    { label "partym-enigma"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label inner
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

如果在网络中无法使用 CIPSO IP 选项的 AH 保护，请使用 ESP 验证。
使用 /etc/inet/ipsecinit.conf 文件中的 encr_auth_algs（而非 auth_algs）来处理验证。ESP 验证不包含 IP 头和 IP 选项，但验证 ESP 头后面的所有信息。
```
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
```
注 - 您也可以将标签添加到受证书保护的系统中。公钥证书在 Trusted Extensions 系统的全局区域中进行管理。完成《Oracle Solaris 管理：IP 服务》中的"使用公钥证书配置 IKE"中的过程后按同样的方式修改 ike/config 文件。

如何通过不可信网络配置通道

此过程在两个 Trusted Extensions VPN 网关系统之间通过公共网络配置 IPsec 通道。此过程中使用的示例基于《Oracle Solaris 管理：IP 服务》中的"用于保护 VPN 的 IPsec 任务的网络拓扑说明"中说明的配置。

假设对此说明进行以下修改：

10 子网是多级别可信网络。CIPSO IP 选项安全标签在这些 LAN 上可见。
192.168 子网是在 PUBLIC 标签下运行的单标签不可信网络。这些网络不支持 CIPSO IP 选项。
euro-vpn 和 calif-vpn 之间的有标签通信受到保护，以免受到未经授权的更改。

开始之前

您是全局区域中的 root 角色。

按照为主机和网络设置标签（任务列表）中的过程进行操作来定义以下内容：
1. 将 10.0.0.0/8 IP 地址添加到有标签安全模板中。
  使用主机类型为 CIPSO 的模板。保留缺省标签范围（ADMIN_LOW 到 ADMIN_HIGH）。
2. 将 192.168.0.0/16 IP 地址添加到标签 PUBLIC 下的无标签安全模板中。
  使用无标签主机类型的模板。将缺省标签设置为 PUBLIC。保留缺省标签范围（ADMIN_LOW 到 ADMIN_HIGH）。
3. 将 Calif-vpn 和 Euro-vpn 的面向 Internet 的地址 192.168.13.213 与 192.168.116.16 添加到 CIPSO 模板中。
  保留缺省标签范围。
创建 IPsec 通道。
按照《Oracle Solaris 管理：IP 服务》中的"如何在隧道模式下使用 IPsec 保护 VPN"中的过程进行操作。将 IKE 用于密钥管理，如以下步骤中所述。

将标签添加到 IKE 协商。

按照《Oracle Solaris 管理：IP 服务》中的"如何使用预先共享的密钥配置 IKE"中的过程进行操作，然后修改 ike/config 文件，如下所示：

将关键字 label_aware、multi_label 和 wire_label none PUBLIC 添加到 euro-vpn 系统的 /etc/inet/ike/config 文件中。

生成的文件将类似于以下内容。突出显示标签添加项。

        ### ike/config file on euro-vpn, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
   ## The rule to communicate with calif-vpn
       # Label must be unique
    { label "eurovpn-califvpn"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label none PUBLIC
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
        }

将相同关键字添加到 calif-vpn 系统的 ike/config 文件中。

    ### ike/config file on calif-vpn, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with euro-vpn
    # Label must be unique
    { label "califvpn-eurovpn"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label none PUBLIC
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

注 - 您也可以将标签添加到受证书保护的系统中。完成《Oracle Solaris 管理：IP 服务》中的"使用公钥证书配置 IKE"中的过程后按同样的方式修改 ike/config 文件。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文)