IKEv2에서 미리 공유한 키를 사용할 때 새 피어를 추가하는 방법

같은 피어 간의 작업 구성에 IPsec 정책 항목을 추가할 경우에는 IPsec 정책 서비스를 새로 고쳐야 합니다. IKE는 재구성하거나 다시 시작하지 않아도 됩니다.

IPsec 정책에 새 피어를 추가할 경우 IPsec 변경 외에 IKEv2 구성도 수정해야 합니다.

시작하기 전에

ipsecinit.conf 파일을 업데이트했으며 피어 시스템에 대한 IPsec 정책을 새로 고쳤습니다.

Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.

1. IPsec을 사용 중인 새 시스템의 키를 관리할 IKEv2에 대한 규칙을 만듭니다.
   1. 예를 들어, enigma 시스템에서 /etc/inet/ike/ikev2.config 파일에 다음 규칙을 추가합니다.

      # pfedit ikev2.config
      ## ikev2.config file on enigma, 192.168.116.16
      ...
      ## The rule to communicate with ada
      ##  Label must be unique
      {label "enigma-ada"
       auth_method preshared
       local_addr  192.168.116.16
       remote_addr 192.168.15.7
      }

      pfedit 명령의 옵션에 대한 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.

   2. ada 시스템에서 다음 규칙을 추가합니다.

      ## ikev2.config file on ada, 192.168.15.7
      ...
      ## The rule to communicate with enigma
      {label "ada-enigma"
       auth_method preshared
       local_addr  192.168.15.7
       remote_addr 192.168.116.16
      }

2. (옵션) 각 시스템에서 파일의 구문을 확인합니다.

   # /usr/lib/inet/in.ikev2d -c -f /etc/inet/ike/ikev2.config

3. 피어 시스템에 대해 IKEv2 미리 공유한 키를 만듭니다.
   1. enigma 시스템에서 /etc/inet/ike/ikev2.preshared 파일에 다음 정보를 추가합니다.

      # pfedit -s /etc/inet/ike/ikev2.preshared
      ## ikev2.preshared on enigma for the ada interface
      ...
      ## The rule to communicate with ada 
      ##  Label must match the label of the rule
      { label "enigma-ada"
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

      pfedit 명령의 옵션에 대한 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.

   2. ada 시스템에서 ikev2.preshared 파일에 다음 정보를 추가합니다.

      # ikev2.preshared on ada for the enigma interface
      # 
      { label "ada-enigma"
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

4. 각 시스템에서 변경 사항을 커널로 읽어들입니다.
   • 서비스를 사용으로 설정한 경우 새로 고칩니다.

     # svcadm refresh ikev2

   • 서비스를 사용할 수 없는 경우 사용으로 설정합니다.

     # svcadm enable ikev2

다음 단계

IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.