Solaris 10 リリースでの IPsec の変更点

Solaris の新機能の完全な一覧や各 Solaris リリースの説明については、『Oracle Solaris 10 9/10 の新機能』を参照してください。Solaris 9 リリースから、IPsec には次の機能が追加されました。

• Sun Crypto Accelerator 4000 ボードを接続すると、ボードは、ボードの Ethernet インタフェースを使用するパケットの IPsec SA を自動的にキャッシュします。ボードは、IPsec SA の処理速度も速めます。

• IPsec は、IPv6 ネットワーク上の IKE での自動鍵管理を利用できます。詳細については、第 22 章インターネットキー交換 (概要)を参照してください。

  IKE の新機能については、「Solaris 10 リリースにおける IKE の変更」を参照してください。

• ipseckey コマンドのパーサは、より明確なヘルプを提供します。ipseckey monitor コマンドは、各イベントにタイムスタンプをつけます。詳細については、ipseckey(1M) のマニュアルページを参照してください。

• IPsec アルゴリズムが中央の記憶場所である Solaris 暗号フレームワークから実行されます。ipsecalgs(1M) のマニュアルページは、使用可能なアルゴリズムの特徴を説明しています。アルゴリズムは、実行するアーキテクチャーに対して最適化されます。フレームワークの説明については、『Solaris のシステム管理 (セキュリティサービス)』の第 13 章「Solaris の暗号化フレームワーク (概要)」を参照してください。

• IPsec は、大域ゾーンで動作します。IPsec ポリシーは、非大域ゾーンに対して大域ゾーンで管理されます。非大域ゾーンのキー作成素材は、大域ゾーンで作成され、手動で管理されます。IKE は、非大域ゾーンのキーの生成には使用できません。ゾーンについては、『Oracle Solaris のシステム管理 (Oracle Solaris コンテナ : 資源管理と Oracle Solaris ゾーン)』の第 16 章「Solaris ゾーンの紹介」を参照してください。

• IPsec ポリシーは、SCTP (Streams Control Transmission Protocol) と SCTP ポート番号と組み合わせて使用できます。ただし、実装は不完全です。RFC 3554 に指定されている SCTP の IPsec 拡張は、まだ実装されていません。これらの制限事項によって SCTP 向けの IPsec ポリシーの作成が複雑になる場合もあります。詳細は、RFC を参照してください。また、「IPsec と SCTP」および「SCTP プロトコル」をお読みください。

• IPsec と IKE は、NAT ボックスの背後で発生したトラフィックを保護します。詳細と制限については、「IPsec と NAT 越え」を参照してください。手順については、「移動体システム用の IKE の設定 (作業マップ)」を参照してください。