転送メッセージにおける MAC 検査
Trusted Solaris ゲートウェイでは、次のホップとネットワークインタフェースの認可検査が実行されます。
パケットに CIPSO ラベル情報が含まれる場合は、転送されるパケットで以下の条件が満たされなければなりません。
-
ルートの拡張メトリックに CIPSO オプションが含まれていること。ルートの拡張メトリックが指定されていない場合は、次のホップのゲートウェイのエントリが、次のいずれかで定義されていること
-
CIPSO 型ホスト
-
CIPSO IP ラベルの sun_tsol 型ホスト
-
CIPSO IP ラベルの tsix 型ホスト
-
-
パケットの CIPSO ラベルが、ルートの拡張メトリックから取得した認可範囲内であること。または、ルートの拡張メトリックが指定されていない場合は、パケットの CIPSO ラベルが、次のホップのゲートウェイのエントリに指定された認可範囲内であること
-
送信インタフェースのネットワークデータベースエントリに指定された CIPSO DOI が、パケットの DOI と一致すること
パケットに RIPSO ラベル情報が含まれる場合は、転送されるパケットで以下の条件が満たされなければなりません。
-
ルートの拡張メトリックに RIPSO オプションが含まれていること。ルートの拡張メトリックが指定されていない場合は、次のホップのゲートウェイのエントリが、次のいずれかで定義されていること
-
RIPSO 型ホスト
-
RIPSO IP ラベルの tsol 型ホスト
-
RIPSO IP ラベルの tsix 型ホスト
-
-
パケットの RIPSO ラベルと PAF が、ルートの拡張メトリックに定義された RIPSO ラベルと RIPSO PAF と一致すること。または、ルートの拡張メトリックが指定されていない場合は、パケットの RIPSO ラベルと RIPSO PAF が、次のホップのゲートウェイのエントリに指定された RIPSO ラベルと RIPSO PAF と一致すること
メッセージの機密ラベルがどの宛先ホスト、ゲートウェイ、またはネットワークインタフェースについても、それらの認可範囲として指定された最下位および最上位ラベルの中に含まれない場合、そのメッセージはドロップされます。
- © 2010, Oracle Corporation and/or its affiliates