第 4 部分 IP 安全性

本部分重点介绍网络安全性。IP 安全体系结构 (IPsec) 在包级别保护网络。Internet 密钥管理 (IKE) 管理 IPsec 的密钥。由 Oracle Solaris ： IP 过滤器提供防火墙。

第 19 章 IP 安全体系结构（概述）

IP 安全体系结构 (IPsec) 为 IPv4 和 IPv6 网络包中的 IP 数据报提供加密保护。

本章包含以下信息：

• IPsec 中的新增功能

• IPsec 介绍

• IPsec 包流

• IPsec 安全关联

• IPsec 保护机制

• IPsec 保护策略

• IPsec 中的传输模式和隧道模式

• 虚拟专用网络和 IPsec

• IPsec 和 NAT 遍历

• IPsec 和 SCTP

• IPsec 和 Solaris Zones

• IPsec 和逻辑域

• IPsec 实用程序和文件

• Solaris 10 发行版中 IPsec 的更改

有关如何在网络中实现 IPsec 的信息，请参见第 20 章。有关参考信息，请参见第 21 章。

IPsec 中的新增功能

Solaris 10 4/09：从此发行版开始，服务管理工具 (Service Management Facility, SMF) 将 IPsec 作为一组服务来管理。

缺省情况下，在系统引导时，将启用以下两个 IPsec 服务：

• svc:/network/ipsec/policy:default

• svc:/network/ipsec/ipsecalgs:default

缺省情况下，在系统引导时，将禁用以下密钥管理服务：

• svc:/network/ipsec/manual-key:default

• svc:/network/ipsec/ike:default

要在 SMF 下激活 IPsec 策略，请执行以下步骤：

1. 将 IPsec 策略项添加到 ipsecinit.conf 文件。

2. 配置 Internet 密钥交换 (Internet Key Exchange, IKE) 或手动配置密钥。

3. 刷新 IPsec 策略服务。

4. 启用密钥管理服务。

有关 SMF 的更多信息，请参见《系统管理指南：基本管理》中的第 18  章 “管理服务（概述）”。另请参见 smf(5) 和 svcadm(1M) 手册页。

从此发行版开始，ipsecconf 和 ipseckey 命令具有 -c 选项，以用于检查它们各自配置文件的语法。另外，还提供了网络 IPsec 管理权限配置文件以用于管理 IPsec 和 IKE。

Solaris 10 7/07：从此发行版开始，IPsec 以隧道模式全面实现隧道，并且支持隧道的实用程序有所修改。

• IPsec 在虚拟专用网络 (virtual private network, VPN) 中以隧道模式实现了隧道。在隧道模式下，IPsec 支持位于一个 NAT 后的多个客户机。在隧道模式下，IPsec 可与其他供应商提供的 IP-in-IP 隧道实现方式交互使用。IPsec 继续以传输模式支持隧道，所以它与早期的 Solaris 发行版兼容。

• 创建隧道的语法已得到简化。为了管理 IPsec 策略，扩展了 ipsecconf 命令。对管理 IPsec 策略而言，ifconfig 命令已过时。

• 从此发行版起，删除了 /etc/ipnodes 文件。可使用 /etc/hosts 文件来配置网络 IPv6 地址。

Solaris 10 1/06：从此发行版开始，IKE 与 NAT 遍历支持完全兼容，如 RFC 3947 和 RFC 3948 中所述。IKE 操作使用加密框架中的 PKCS #11 库，从而提高了性能。

加密框架为使用 metaslot 的应用程序提供了 softtoken 密钥库。IKE 使用 metaslot 时，可以选择在磁盘上、已连接的板上或在 softtoken 密钥库中存储密钥。

• 有关如何使用 softtoken 密钥库的信息，请参见 cryptoadm(1M) 手册页。

• 有关 Solaris 新增功能的完整列表和 Solaris 发行版的说明，请参见《Oracle Solaris 10 9/10 新增功能》。

IPsec 介绍

IPsec 通过验证包、加密包或同时执行这两种操作来保护 IP 包。IPsec 在 IP 模块内部执行，刚好在应用层之下。因此，Internet 应用程序可以直接利用 IPsec，而不必配置自身以使用 IPsec。若使用得当，IPsec 是保证网络通信安全的有效工具。

IPsec 保护涉及五个主要组件：

• 安全协议－IP 数据报保护机制。authentication header（验证头） (AH) 对 IP 包进行签名并确保完整性。数据报的内容没有加密，但是可以向接收者保证包的内容尚未更改，还可以向接收者保证包已由发送者发送。encapsulating security payload, ESP（封装安全有效负荷）对 IP 数据进行加密，因此在包传输过程中会遮蔽内容。ESP 还可以通过验证算法选项来确保数据的完整性。

• 安全关联数据库 (Security associations database, SADB)－将安全协议与 IP 目标地址和索引号进行关联的数据库。索引号称为 security parameter index, SPI（安全参数索引）。这三个元素（安全协议、目标地址和 SPI）会唯一标识合法的 IPsec 包。此数据库确保到达包目的地的受保护包可由接收者识别。接收者还可使用数据库中的信息解密通信、检验包未曾受到更改、重新组装包并将包发送到其最终目的地。

• 密钥管理－针对加密算法和 SPI 生成和分发密钥。

• 安全机制－用于保护 IP 数据报中的数据的验证和加密算法。

• 安全策略数据库 (Security policy database, SPD)－用于指定要应用到包的保护级别的数据库。SPD 过滤 IP 通信来确定应该如何处理包。包可能被废弃，可以毫无阻碍地进行传送，或者也可以受到 IPsec 的保护。对于外发包，SPD 和 SADB 确定要应用的保护级别。对于传入包，SPD 帮助确定包的保护级别是否可接受。如果包受 IPsec 保护，将在对包进行解密和验证之后参考 SPD。

IPsec 将安全机制应用于发往 IP 目标地址的 IP 数据报。接收者使用其 SADB 中的信息来检验到达的包是否合法并对其进行解密。应用程序也可以调用 IPsec，以便在每个套接字级别将安全机制应用于 IP 数据报。

请注意，套接字的行为不同于端口：

• 每个套接字的 SA 覆盖其在 SPD 中的相应端口项。

• 另外，如果端口上的套接字为连接状态，且随后对此端口应用 IPsec 策略，则使用此套接字的通信不受 IPsec 保护。

  当然，将 IPsec 策略应用于端口之后，在此端口上打开的套接字将受 IPsec 策略保护。

IPsec RFC

Internet 工程任务组 (Internet Engineering Task Force, IETF) 已经发布了许多介绍 IP 层安全体系结构的互联网信息文档和标准 (Requests for Comment, RFC)。所有 RFC 均受 Internet 协会版权保护。有关指向 RFC 的链接，请参见 http://www.ietf.org/。以下 RFC 列表包含更为常见的 IP 安全参考：

• RFC 2411，"IP Security Document Roadmap"，1998 年 11 月

• RFC 2401，"Security Architecture for the Internet Protocol"，1998 年 11 月

• RFC 2402，"IP Authentication Header"，1998 年 11 月

• RFC 2406，"IP Encapsulating Security Payload (ESP)"，1998 年 11 月

• RFC 2408，"Internet Security Association and Key Management Protocol (ISAKMP)"，1998 年 11 月

• RFC 2407，"The Internet IP Security Domain of Interpretation for ISAKMP"，1998 年 11 月

• RFC 2409，"The Internet Key Exchange (IKE)"，1998 年 11 月

• RFC 3554，"On the Use of Stream Control Transmission Protocol (SCTP) with IPsec"，2003 年 7 月 [未在 Solaris 10 发行版中实现]

IPsec 术语

IPsec RFC 定义许多用于识别何时在系统上实现 IPsec 的术语。下表列出了 IPsec 术语，提供了常用的首字母缩写词并定义了每个术语。有关在密钥协商中使用的术语的列表，请参见表 22–1。

IPsec 包流

图 19–1 显示了当已经在外发包上调用 IPsec 时，作为IP datagram（IP 数据报）一部分的带有 IP 地址的包如何继续传送。此流程图说明了可以对包应用验证头 (authentication header, AH) 和封装安全有效负荷 (encapsulating security payload, ESP) 实体的位置。如何应用这些实体以及如何选择算法将在后续各节中进行介绍。

图 19–2 显示了 IPsec 传入过程。

图 19–1 应用于外发包过程的 IPsec

图 19–2 应用于传入包过程的 IPsec

IPsec 安全关联

IPsec 安全关联 (security association, SA) 指定由通信主机识别的安全属性。单个 SA 保护单一方向的数据，此保护针对单个主机或一组（多点传送）地址。由于多数通信为对等通信或客户机/服务器通信，因此，必须存在两个 SA 来保证两个方向的通信安全。

以下三个元素唯一地标识 IPsec SA：

• 安全协议（AH 或 ESP）

• 目标 IP 地址

• security parameter index, SPI（安全参数索引）

SPI 是任意 32 位的值，与 AH 或 ESP 包一起传输。ipsecah(7P) 和 ipsecesp(7P) 手册页说明了由 AH 和 ESP 提供的保护范围。完整性校验值用于验证包。如果验证失败，则会丢弃包。

安全关联存储在安全关联数据库 (security associations database, SADB) 中。基于套接字的管理引擎 PF_KEY 接口使特权应用程序可以管理数据库。例如，IKE 应用程序和 ipseckeys 命令会使用 PF_KEY 套接字接口。

• 有关 IPsec SADB 的更为完整的说明，请参见IPsec 的安全关联数据库。

• 有关如何管理 SADB 的更多信息，请参见 pf_key(7P) 手册页。

IPsec 中的密钥管理

安全关联 (Security association, SA) 需要加密材料来进行验证和加密。对此加密材料的管理称为密钥管理。Internet 密钥交换 (Internet Key Exchange, IKE) 协议自动处理密钥管理。您还可以使用 ipseckey 命令手动管理密钥。

IPv4 和 IPv6 包上的 SA 可以使用任一密钥管理方法。除非您有充分的理由使用手动密钥管理，否则，请首选使用自动密钥管理。例如，与 Solaris 系统之外的系统进行交互操作可能需要手动密钥管理。

在当前发行版中，SMF 为 IPsec 提供以下密钥管理服务：

• svc:/network/ipsec/ike:default 服务－为用于进行自动密钥管理的 SMF 服务。ike 服务运行 in.iked 守护进程以提供自动密钥管理。有关 IKE 的说明，请参见第 22 章。有关 in.iked 守护进程的更多信息，请参见 in.iked(1M) 手册页。有关 ike 服务的信息，请参见IKE 服务管理工具。

• svc:/network/ipsec/manual-key:default 服务－为用于进行手动密钥管理的 SMF 服务。manual-key 服务运行带有各种选项的 ipseckey 命令来手动管理密钥。有关 ipseckey 命令的说明，请参见用于在 IPsec 中生成密钥的实用程序。有关 ipseckey 命令选项的详细说明，请参见 ipseckey(1M) 手册页。

在 Solaris 10 4/09 发行版之前的发行版中，in.iked 和 ipseckey 命令用于管理加密材料。

• in.iked 守护进程提供自动密钥管理。有关 IKE 的说明，请参见第 22 章。有关 in.iked 守护进程的更多信息，请参见 in.iked(1M) 手册页。

• ipseckey 命令提供手动密钥管理。有关此命令的说明，请参见用于在 IPsec 中生成密钥的实用程序。有关 ipseckey 命令选项的详细说明，请参见 ipseckey(1M) 手册页。

IPsec 保护机制

IPsec 提供了两种用于保护数据的安全协议：

• 验证头 (Authentication Header, AH)

• 封装安全有效负荷 (Encapsulating Security Payload, ESP)

AH 使用验证算法来保护数据。ESP 使用加密算法来保护数据。ESP 还可以使用验证算法来保护数据。算法的每种实现方式称为机制。

验证头

authentication header（验证头）为数据报提供了数据验证、高完整性以及重放保护。AH 保护 IP 数据报的更为重要的部分。如下图所示，AH 插在 IP 数据包头和传输头之间。

传输头可以是 TCP、UDP、SCTP 或 ICMP。如果使用的是 tunnel（隧道），则传输头可以是另一个 IP 数据包头。

封装安全有效负荷

encapsulating security payload, ESP（封装安全有效负荷）模块为 ESP 所封装的内容提供了保密性。ESP 也提供 AH 提供的服务。但是，ESP 仅为 ESP 所封装的数据报部分提供保护。ESP 提供可选的验证服务以确保受保护的包的完整性。因为 ESP 使用启用了加密的技术，因此提供 ESP 的系统可能会受进出口控制法制约。

由于 ESP 封装其数据，因此 ESP 仅保护数据报中跟在其后的数据，如下图所示。

在 TCP 包中，ESP 仅封装 TCP 数据包头及其数据。如果包是 IP-in-IP 数据报，则 ESP 会保护内部的 IP 数据报。由于每个套接字的策略允许自封装，因此，ESP 可以在需要时封装 IP 选项。

如果设置了自封装，会生成 IP 数据包头的副本来构建 IP-in-IP 数据报。例如，如果未在 TCP 套接字上设置自封装，会以下列格式发送数据报：

[ IP(a -> b) options + TCP + data ]

如果在 TCP 套接字上设置了自封装，则会以下列格式发送数据报：

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

有关进一步介绍，请参见IPsec 中的传输模式和隧道模式。

使用 AH 和 ESP 时的安全注意事项

下表比较了由 AH 和 ESP 提供的保护。

IPsec 中的验证算法和加密算法

IPsec 安全协议使用两种类型的算法，即验证和加密。AH 模块使用验证算法。ESP 模块可以使用加密算法以及验证算法。您可以使用 ipsecalgs 命令获取系统上的算法及其属性的列表。有关更多信息，请参见 ipsecalgs(1M) 手册页。您也可以使用 getipsecalgbyname(3NSL) 手册页中介绍的功能来检索算法属性。

Solaris 系统上的 IPsec 利用 Solaris 加密框架来使用算法。此框架提供了一个主要的算法仓库，同时还提供了其他服务。使用此框架，IPsec 可以利用高性能的加密硬件加速器。此框架还提供了资源控制功能。例如，您可以使用此框架来限制在内核的加密操作中花费的 CPU 时间。

详细信息，请参见以下内容：

• 《系统管理指南：安全性服务》中的第 13  章 “Solaris 加密框架（概述）”

• 《Solaris 开发者安全性指南》中的第 8  章 “Solaris 加密框架介绍”

IPsec 中的验证算法

验证算法将生成完整性校验和值或基于数据和密钥的摘要。AH 模块使用验证算法。ESP 模块也可以使用验证算法。

IPsec 中的加密算法

加密算法使用密钥来加密数据。IPsec 中的 ESP 模块使用加密算法。算法以块大小为单位对数据进行操作。

不同的 Solaris 10 OS 发行版提供不同的缺省加密算法。

从 Solaris 10 7/07 发行版开始，将不会在您的系统中添加 Solaris 加密工具包。该工具包降低了您系统上加密的修补程序级别。此工具包与系统上的加密不兼容。

• 从此 Solaris 10 7/07 发行版开始，Solaris 加密工具包的内容由 Solaris 安装介质安装。此发行版会添加以下 SHA2 验证算法：sha256、sha384 和 sha512。SHA2 实现符合 RFC 4868 规范。此发行版还会添加较大的 Diffie-Hellman 组：2048 位（组 14）、3072 位（组 15）和 4096 位（组 16）。请注意，采用酷线程 (CoolThreads) 技术的 Sun 系统仅会加速 2048 位组。

• 在Solaris 10 7/07 以前的发行版中，Solaris 安装介质会提供基本的算法，并且可以从 Solaris 加密工具包添加更强大的算法。

  缺省情况下，将安装 DES-CBC、3DES-CBC、AES-CBC 和 Blowfish-CBC 算法。AES-CBC 和 Blowfish-CBC 算法支持的密钥大小限制在 128 位。

  安装 Solaris 加密工具后，IPsec 可以使用支持多于 128 位的密钥大小的 AES-CBC 和 Blowfish-CBC 算法。但是，在美国国外并非所有的加密算法都可用。不属于 Solaris 10 安装包的单独 CD 上提供此工具包。《Solaris 10 Encryption Kit Installation Guide》说明了如何安装该工具包。有关详细信息，请参见 Sun Downloads Web 站点。要下载该工具包，请单击 "Downloads A-Z" 选项卡，然后单击字母 S。Solaris 10 加密工具包位于前 20 项中。

IPsec 保护策略

IPsec 保护策略可以使用任何安全机制。IPsec 策略可以在以下级别应用：

• 在系统范围级别

• 在每个套接字级别

IPsec 会将系统范围的策略应用于外发数据报和传入数据报。外发数据报既可以在受保护的情况下发送，也可以在不受保护的情况下发送。如果应用了保护，则算法可能是特定的，也可能是非特定的。由于存在系统可识别的其他数据，因此可以将其他一些规则应用于外发数据报。传入数据报可以被接受或丢弃。确定丢弃还是接受传入数据报时取决于若干个条件，这些条件有时会重叠或冲突。可以通过确定首先要解析的规则来解决冲突。将自动接受通信，但是当策略项表明通信应跳过所有其他策略时除外。

可以跳过通常保护数据报的策略。您既可以在系统范围策略内指定例外，也可以在每个套接字策略中请求跳过。对于系统内的通信，将执行策略，但是不会应用实际的安全机制。相反，应用于系统内部包上的外发策略将转移到应用了那些机制的传入包。

可以使用 ipsecinit.conf 文件和 ipsecconf 命令来配置 IPsec 策略。有关详细信息和示例，请参见 ipsecconf(1M) 手册页。

IPsec 中的传输模式和隧道模式

IPsec 标准定义了 IPsec 操作的两种不同模式：传输模式和隧道模式。模式不影响包的编码。在每种模式下，包受 AH、ESP，或二者的保护。如果内部包是 IP 包，这两种模式在策略应用程序方面有所不同，如下所示：

• 在传输模式下，外部头决定保护内部 IP 包的 IPsec 策略。

• 在隧道模式下，内部 IP 包决定保护其内容的 IPsec 策略。

在传输模式下，外部头、下一个头以及下一个头支持的任何端口都可用于确定 IPsec 策略。实际上，IPsec 可在一个端口不同粒度的两个 IP 地址之间强制实行不同的传输模式策略。例如，如果下一个头是 TCP（支持端口），则可为外部 IP 地址的 TCP 端口设置 IPsec 策略。类似地，如果下一个头是 IP 数据包头，外部头和内部 IP 数据包头可用于决定 IPsec 策略。

隧道模式仅适用于 IP-in-IP 数据报。如果在家中的计算机用户要连接到中心计算机位置，以隧道模式进行隧道连接将会很有用。在隧道模式下，IPsec 策略强制实施于内部 IP 数据报的内容中。可针对不同的内部 IP 地址强制实施不同的 IPsec 策略。也就是说，内部 IP 数据包头、其下一个头及下一个头支持的端口，可以强制实施策略。与传输模式不同，在隧道模式下，外部 IP 数据包头不指示其内部 IP 数据报的策略。

因此，在隧道模式下，可为路由器后面的 LAN 的子网和这些子网上的端口指定 IPsec 策略。也可在这些子网上为特定的 IP 地址（即主机）指定 IPsec 策略。这些主机的端口也可以具有特定的 IPsec 策略。但是，如果有动态路由协议在隧道上运行，请勿使用子网选择或地址选择，因为对等网络上的网络拓扑的视图可能会更改。更改可能使静态 IPsec 策略失效。有关包括配置静态路由的隧道设置过程示例，请参见使用 IPsec 保护 VPN。

在 Solaris OS 中，可以只在一个 IP 隧道网络接口上强制执行隧道模式。ipsecconf 命令提供 tunnel 关键字来选择 IP 隧道网络接口。当规则中出现 tunnel 关键字时，在此规则中指定的所有选定器都应用到内部包中。

在传输模式下，ESP、AH、或二者可以保护该数据报。

下图显示了不受保护的 TCP 包的 IP 数据包头。

图 19–3 携带 TCP 信息的不受保护的 IP 包

在传输模式下，ESP 按下图所示的方式保护数据。阴影部分表示包的加密部分。

图 19–4 携带 TCP 信息的受保护的 IP 包

在传输模式下，AH 按下图所示的方式保护数据。

图 19–5 由验证头保护的包

实际上，在数据出现在数据报中之前，AH 便已包含数据。因此，即使在传输模式下，AH 提供的保护也会包含一些 IP 数据包头。

在隧道模式下，整个数据报处于 IPsec 数据包头的保护之内。图 19–3 中的数据报由外部 IPsec 数据包头（在此示例中为 ESP）以隧道模式保护，如下图所示。

图 19–6 以隧道模式保护的 IPsec 包

ipsecconf 命令包括用于将隧道设置为隧道模式或传输模式的关键字。

• 有关每个套接字策略的详细信息，请参见 ipsec(7P) 手册页。

• 有关每个套接字策略的示例，请参见如何使用 IPsec 保护 Web 服务器使之免受非 Web 通信影响。

• 有关隧道的更多信息，请参见 ipsecconf(1M) 手册页。

• 有关隧道配置的示例，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN。

虚拟专用网络和 IPsec

已配置的隧道是点对点接口。使用隧道，可以将一个 IP 包封装到另一个 IP 包中。正确配置的隧道同时要求隧道源和隧道目标。有关更多信息，请参见 tun(7M) 手册页和针对 IPv6 支持配置隧道。

隧道可创建明显的 IP physical interface（物理接口）。物理链接的完整性取决于基础安全协议。如果您安全地设置了安全关联 (security association, SA)，则可以信任隧道。退出隧道的包必须源于隧道目标中指定的对等设备。如果此信任存在，则可以使用按接口 IP 转发来创建 virtual private network, VPN（虚拟专用网络）。

您可以使用 IPsec 来构造 VPN。IPsec 保证连接安全。例如，使用 VPN 技术将办公室与独立网络连接的组织可以部署 IPsec 来保证两个办公室之间的通信安全。

下图说明了两个办公室如何使用 Internet 来形成其网络系统上部署有 IPsec 的 VPN。

图 19–7 虚拟专用网络

有关设置过程的详细示例，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN。

有关使用 IPv6 地址的类似示例，请参见如何使用通过 Ipv6 实现的处于隧道模式的 IPsec 隧道保护 VPN。

IPsec 和 NAT 遍历

IKE 可以通过 NAT 盒 (NAT box) 来协商 IPsec SA。此功能使系统可以从远程网络安全地连接，即使当系统位于 NAT 设备之后也可如此。例如，在家工作或从会议地点登录的雇员可以使用 IPsec 保护其通信。

NAT 表示网络地址转换。NAT 盒 (NAT box) 用于将专用内部地址转换为唯一的 Internet 地址。NAT 常见于 Internet 的公共访问点，例如宾馆。有关更全面的论述，请参见使用 Oracle Solaris ： IP 过滤器的 NAT 功能。

当 NAT 盒 (NAT box) 位于通信系统之间时使用 IKE 的能力称为 NAT 遍历，即 NAT-T。在 Solaris 10 发行版中，NAT-T 具有以下限制：

• NAT-T 仅在 IPv4 网络中使用。

• NAT-T 不能利用由 Sun Crypto Accelerator 4000 板提供的 IPsec ESP 加速。但是，Sun Crypto Accelerator 4000 板的 IKE 加速可正常工作。

• 由于 AH 协议取决于未更改的 IP 数据包头，因此 AH 不能用于 NAT-T。ESP 协议可用于 NAT-T。

• NAT 盒 (NAT box) 不使用特殊的处理规则。使用特殊 IPsec 处理规则的 NAT 盒 (NAT box) 可能会干扰 NAT-T 的实现。

• 仅当 IKE 启动器是位于 NAT 盒 (NAT box) 之后的系统时，NAT-T 才运行。IKE 响应者不能位于 NAT 盒 (NAT box) 之后，除非此盒已经过编程可以将 IKE 包转发到位于盒之后的相应单个系统。

以下 RFC 介绍了 NAT 的功能和 NAT-T 的限制。可以从 http://www.rfc-editor.org 中检索这些 RFC 的副本。

• RFC 3022，"Traditional IP Network Address Translator (Traditional NAT)"，2001 年 1 月

• RFC 3715，"Psec-Network Address Translation (NAT) Compatibility Requirements"，2004 年 3 月

• RFC 3947，"Negotiation of NAT-Traversal in the IKE"，2005 年 1 月

• RFC 3948，"UDP Encapsulation of IPsec Packets"，2005 年 1 月

有关如何通过 NAT 使用 IPsec 的信息，请参见为移动系统配置 IKE（任务列表）。

IPsec 和 SCTP

Solaris OS 支持流控制传输协议 (Streams Control Transmission Protocol, SCTP)。支持使用 SCTP 协议和 SCTP 端口号来指定 IPsec 策略，但是这种方法不可靠。RFC 3554 中指定的 SCTP 的 IPsec 扩展尚未实现。这些限制可能会使为 SCTP 创建 IPsec 策略的过程更为复杂。

SCTP 可以在单个 SCTP 关联的上下文中使用多个源地址和目标地址。当 IPsec 策略应用于单个源地址或目标地址时，通信可能会在 SCTP 切换此关联的源地址或目标地址时失败。IPsec 策略仅识别初始地址。有关 SCTP 的信息，请参阅 RFC 和SCTP 协议。

IPsec 和 Solaris Zones

对于共享 IP 区域，IPsec 是在全局区域中配置的。IPsec 策略配置文件 ipsecinit.conf 仅存在于全局区域中。该文件既可具有应用到非全局区域的项，又可具有应用到全局区域的项。

对于专用 IP 区域，IPsec 是在非全局区域中配置的。

有关如何在区域上使用 IPsec 的信息，请参见使用 IPsec 保护通信。有关区域的信息，请参见《系统管理指南：Oracle Solaris Containers－资源管理和 Oracle Solaris Zones》中的第 16  章 “Solaris Zones 介绍”。

IPsec 和逻辑域

IPsec 与逻辑域一同工作。逻辑域必须运行包含 IPsec 的 Solaris OS 版本，如 Solaris 10 发行版。

要创建逻辑域，必须使用 SPARC 的 Oracle VM Server，之前它被称为 Logical Domains。有关如何配置逻辑域的信息，请参见《Logical Domains 1.2 Administration Guide》或《Oracle VM Server for SPARC 2.0 Administration Guide》。

IPsec 实用程序和文件

表 19–3 介绍了用于配置和管理 IPsec 的文件、命令和服务标识符。为了体现完整性，此表包括密钥管理文件、套接字接口和命令。

从 Solaris 10 4/09 发行版开始，IPsec 由 SMF 来管理。有关服务标识符的更多信息，请参见《系统管理指南：基本管理》中的第 18  章 “管理服务（概述）”。

• 有关在网络中实现 IPsec 的说明，请参见使用 IPsec 保护通信（任务列表）。

• 有关 IPsec 实用程序和文件的更多详细信息，请参见第 21 章。

Solaris 10 发行版中 IPsec 的更改

有关 Solaris 新增功能的完整列表和 Solaris 发行版的说明，请参见《Oracle Solaris 10 9/10 新增功能》。自 Solaris 9 发行版以来，IPsec 包括以下功能：

• 当连接 Sun Crypto Accelerator 4000 板时，此板将自动高速缓存使用此板的以太网接口的包的 IPsec SA。此板还加快了 IPsec SA 的处理速度。

• IPsec 可以利用通过 IPv6 网络使用 IKE 进行的自动密钥管理。有关更多信息，请参见第 22 章。

  有关 IKE 新增功能，请参见Solaris 10 发行版对 IKE 的更改。

• ipseckey 命令的解析器提供更为明确的帮助。ipseckey monitor 命令为每个事件标记时间。有关详细信息，请参见 ipseckey(1M) 手册页。

• IPsec 算法现在来自中央存储位置，即 Solaris 加密框架。ipsecalgs(1M) 手册页介绍了可用算法的特征。这些算法针对运行它们的体系结构进行了优化。有关此框架的说明，请参见《系统管理指南：安全性服务》中的第 13  章 “Solaris 加密框架（概述）”。

• IPsec 在全局区域中运行。在全局区域中管理用于非全局区域的 IPsec 策略。在全局区域中为非全局区域手动创建和管理加密材料。不能使用 IKE 为非全局区域生成密钥。有关区域的更多信息，请参见《系统管理指南：Oracle Solaris Containers－资源管理和 Oracle Solaris Zones》中的第 16  章 “Solaris Zones 介绍”。

• IPsec 策略可以与流控制传输协议 (Streams Control Transmission Protocol, SCTP) 和 SCTP 端口号一起使用。但是，该实现尚不完整。尚未实现 RFC 3554 中指定的 SCTP 的 IPsec 扩展。这些限制可能会使为 SCTP 创建 IPsec 策略的过程更为复杂。有关详细信息，请参阅 RFC。另请参见IPsec 和 SCTP和SCTP 协议。

• IPsec 和 IKE 可以保护源于 NAT 盒 (NAT box) 之后的通信。有关详细信息和限制，请参见IPsec 和 NAT 遍历。有关过程，请参见为移动系统配置 IKE（任务列表）。

第 20 章 配置 IPsec（任务）

本章提供了在网络中实现 IPsec 的过程。以下任务列表中介绍了这些过程：

• 使用 IPsec 保护通信（任务列表）

• 使用 IPsec 保护 VPN（任务列表）

有关 IPsec 的概述信息，请参见第 19 章。有关 IPsec 的参考信息，请参见第 21 章。

使用 IPsec 保护通信（任务列表）

以下任务列表提供了指向在一个或多个系统之间设置 IPsec 的过程的链接。ipsecconf(1M)、ipseckey(1M) 和 ifconfig(1M) 手册页也在各自的“示例”部分中介绍了有用的过程。

使用 IPsec 保护通信

本节提供保证两个系统之间的通信安全以及保证 Web 服务器的安全的过程。要保护 VPN，请参见使用 IPsec 保护 VPN（任务列表） 。其他过程提供加密材料和安全关联并检验 IPsec 是否按照配置工作。

以下信息适用于所有的 IPsec 配置任务：

• IPsec 和区域－要管理共享 IP 非全局区域的 IPsec 策略和密钥，请在全局区域中创建 IPsec 策略文件，然后从全局区域运行 IPsec 配置命令。请使用对应于要配置的非全局区域的源地址。您还可以在全局区域中为全局区域配置 IPsec 策略和密钥。对于专用 IP 区域，请在非全局区域中配置 IPsec 策略。从 Solaris 10 7/07 发行版开始，可以使用 IKE 在非全局区域中管理密钥。

• IPsec 和 RBAC－要使用角色来管理 IPsec，请参见《系统管理指南：安全性服务》中的第 9  章 “使用基于角色的访问控制（任务）”。有关示例，请参见如何配置网络安全角色。

• IPsec 和 SCTP－可以使用 IPsec 来保护流控制传输协议 (Streams Control Transmission Protocol, SCTP) 关联，但使用时必须谨慎。有关更多信息，请参见IPsec 和 SCTP。

如何使用 IPsec 保证两个系统之间的通信安全

假设此过程具有以下设置：

• 两个系统的名称为 enigma 和 partym。

• 每个系统都有两个地址，一个 IPv4 地址和一个 IPv6 地址。

• 每个系统都需要采用 AES 算法的 ESP 加密（此算法需要 128 位的密钥）和采用 SHA1 消息摘要的 ESP 验证（此消息摘要需要 160 位的密钥）。

• 每个系统都使用共享安全关联。

  如果使用共享 SA，则仅需要一对 SA 来保护两个系统。

开始之前

必须位于全局区域中才能为系统或共享 IP 区域配置 IPsec 策略。对于专用 IP 区域，请在非全局区域中配置 IPsec 策略。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。有关示例，请参见示例 20–1。

   ---

2. 在每个系统上，检查主机项。

   在当前发行版中，将主机项添加到 /etc/inet/hosts 文件。

   在运行 Solaris 10 7/07 之前的发行版的系统上，将 IPv4 和 IPv6 项添加到 /etc/inet/ipnodes 文件中。一个系统的项在文件中必须是连续的。有关系统配置文件的更多信息，请参见TCP/IP 配置文件和第 11 章。

   如果您仅连接具有 IPv4 地址的系统，则需要修改 /etc/inet/hosts 文件。在此示例中，连接的系统运行的是早期的 Solaris 发行版并且使用的是 IPv6 地址。

   1. 在名为 enigma 的系统上，将以下内容键入到 hosts 或 ipnodes 文件中：

      # Secure communication with partym 192.168.13.213 partym 2001::eeee:3333:3333 partym

   2. 在名为 partym 的系统上，将以下内容键入到 hosts 或 ipnodes 文件中：

      # Secure communication with enigma 192.168.116.16 enigma 2001::aaaa:6666:6666 enigma

   将名称服务用于符号名称是不安全的。

3. 在每个系统上，创建 IPsec 策略文件。

   该文件名为 /etc/inet/ipsecinit.conf。有关示例，请参见 /etc/inet/ipsecinit.sample 文件。

4. 将 IPsec 策略项添加到 ipsecinit.conf 文件。

   1. 在 enigma 系统上添加以下策略：

      {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. 在 partym 系统上添加相同的策略：

      {laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

      有关 IPsec 策略项的语法，请参见 ipsecconf(1M) 手册页。

5. 在每个系统上，添加两个系统之间的一对 IPsec SA。

   您可以配置 Internet 密钥交换 (Internet Key Exchange, IKE) 来自动创建 SA，也可以手动添加 SA。

   ---

   注 –

   您应该使用 IKE，除非您有充分的理由手动生成和维护密钥。IKE 密钥管理比手动密钥管理更为安全。

   ---

   • 按照配置 IKE（任务列表）中的配置过程之一来配置 IKE。有关 IKE 配置文件的语法，请参见 ike.config(4) 手册页。

   • 要手动添加 SA，请参见如何手动创建 IPsec 安全关联。

6. 启用 IPsec 策略。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请重新引导系统。

     # init 6

     然后，转至如何检验包是否受 IPsec 保护。

   • 从 Solaris 10 4/09 发行版开始，请刷新 IPsec 服务并启用密钥管理服务。

     完成步骤 7 到步骤 10。

7. 检验 IPsec 策略文件的语法。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

   修复任何错误、检验文件的语法，然后继续。

8. 刷新 IPsec 策略。

   # svcadm refresh svc:/network/ipsec/policy:default

   IPsec 策略缺省情况下处于启用状态，因此要对其进行刷新。如果您已禁用了 IPsec 策略，请将其启用。

   # svcadm enable svc:/network/ipsec/policy:default

9. 激活 IPsec 的密钥。

   • 如果在步骤 5 中配置了 IKE，请执行以下操作之一：

     • 如果未启用 ike 服务，请将其启用。

       # svcadm enable svc:/network/ipsec/ike:default

     • 如果已启用 ike 服务，请重新启动此服务。

       # svcadm restart svc:/network/ipsec/ike:default

   • 如果在步骤 5 中手动配置了密钥，请执行以下操作之一：

     • 如果未启用 manual-key 服务，请将其启用。

       # svcadm enable svc:/network/ipsec/manual-key:default

     • 如果已启用 manual-key 服务，请刷新此服务。

       # svcadm refresh svc:/network/ipsec/manual-key:default

10. 验证是否对包进行了保护。

    有关过程，请参见如何检验包是否受 IPsec 保护。

示例 20–1 使用 ssh 连接时添加 IPsc 策略

在此示例中，管理员作为超级用户通过使用 ssh 命令访问第二个系统，在两个系统上配置 IPsc 策略和密钥。有关更多信息，请参见 ssh(1) 手册页。

• 首先，管理员通过执行上述过程的步骤 2 至步骤 5 来配置第一个系统。

• 接着，在不同的终端窗口中，管理员使用 ssh 命令登录到第二个系统。

  local-system # ssh other-system other-system #

• 在 ssh 会话的终端窗口中，管理员通过完成步骤 2 至步骤 6 来配置第二个系统的 IPsec 策略和密钥。

• 然后，管理员结束 ssh 会话。

  other-system # exit local-system #

• 最后，管理员通过完成步骤 6 在第一个系统上启用 IPsec 策略。

下次这两个系统进行通信（包括使用 ssh 连接）时，此通信将会受 IPsec 保护。

示例 20–2 在不重新引导的情况下使用 IPsec 保证通信安全

以下示例适用于运行 Solaris 10 4/09 发行版之前的发行版的情况。即，在您的发行版中，不将 IPsec 作为服务来管理。此示例介绍了如何在测试环境中实现 IPsec。在生产环境中，重新引导比运行 ipsecconf 命令更为安全。有关安全注意事项，请参见此示例的结尾。

选择以下选项之一，而不是在步骤 6 进行重新引导：

• 如果您已使用 IKE 创建加密材料，请停止 in.iked 守护进程，然后重新启动它。

  # pkill in.iked # /usr/lib/inet/in.iked

• 如果您手动添加了密钥，请使用 ipseckey 命令将 SA 添加到数据库中。

  # ipseckey -c -f /etc/inet/secret/ipseckeys

  然后使用 ipsecconf 命令激活 IPsec 策略。

  # ipsecconf -a /etc/inet/ipsecinit.conf

安全注意事项－请在执行 ipsecconf 命令时阅读警告。已锁定的套接字（即已使用的套接字）提供了通向系统的不安全的后门。有关更广泛的讨论，请参见ipsecinit.conf 和 ipsecconf 的安全注意事项。

如何使用 IPsec 保护 Web 服务器使之免受非 Web 通信影响

安全的 Web 服务器允许 Web 客户机与 Web 服务对话。在安全的 Web 服务器上，不属于 Web 通信的通信必须通过安全检查。以下过程会跳过 Web 通信。此外，此 Web 服务器可以发出不安全的 DNS 客户机请求。所有其他通信都需要使用 AES 和 SHA-1 算法的 ESP。

开始之前

必须位于全局区域中才能配置 IPsec 策略。对于专用 IP 区域，请在非全局区域中配置 IPsec 策略。您已完成了如何使用 IPsec 保证两个系统之间的通信安全，因此实际环境符合以下状况：

• 两个系统之间的通信受 IPsec 保护。

• 生成了加密材料（无论是手动生成还是由 IKE 生成）。

• 已检验是否对包进行了保护。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 确定哪些服务需要跳过安全策略检查。

   对于 Web 服务器，这些服务包括 TCP 端口 80 (HTTP) 和 443 (安全 HTTP)。如果 Web 服务器提供 DNS（域名系统）名称查找，则服务器还可能需要针对 TCP（传输控制协议）和 UDP（用户数据报协议）包括端口 53。

3. 为 Web 服务器创建 IPsec 策略，并将其启用。

   • 从 Solaris 10 4/09 发行版开始，请执行步骤 4 至步骤 7。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请执行步骤 8 至步骤 11。

   对于所有 Solaris 发行版，步骤 12 均是可选的。

4. 将 Web 服务器策略添加到 IPsec 策略文件。

   将以下行添加到 /etc/inet/ipsecinit.conf 文件：

   # Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   此配置仅允许安全通信访问系统，跳过检查的例外情况在步骤 4 中进行了介绍。

5. 检验 IPsec 策略文件的语法。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. 刷新 IPsec 策略。

   # svcadm refresh svc:/network/ipsec/policy:default

7. 刷新 IPsec 的密钥。

   • 如果在如何使用 IPsec 保证两个系统之间的通信安全的步骤 5 中配置了 IKE，请重新启动 ike 服务。

     # svcadm restart svc:/network/ipsec/ike

   • 如果在如何使用 IPsec 保证两个系统之间的通信安全的步骤 5 中手动配置了密钥，请刷新 manual-key 服务。

     # svcadm refresh svc:/network/ipsec/manual-key:default

   您的设置已完成。（可选）您可以执行步骤 12。

8. 在 /etc/inet 目录中为 Web 服务器策略创建一个文件。

   ---

   注 –

   以下步骤用于配置运行 Solaris 10 4/09 发行版之前的发行版的 Web 服务器。

   ---

   为此文件指定一个表明其用途的名称，例如 IPsecWebInitFile。在此文件中键入以下行：

   # Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   此配置仅允许安全通信访问系统，跳过检查的例外情况在步骤 4 中进行了介绍。

9. 将您在步骤 8 中创建的文件的内容复制到 /etc/inet/ipsecinit.conf 文件中。

10. 使用只读权限保护 IPsecWebInitFile 文件。

    # chmod 400 IPsecWebInitFile

11. 在不重新引导的情况下保证 Web 服务器的安全。

    选择以下选项之一：

    • 如果您使用 IKE 管理密钥，请停止并重新启动 in.iked 守护进程。

      # pkill in.iked # /usr/lib/inet/in.iked

    • 如果您手动管理密钥，请使用 ipseckey 和 ipsecconf 命令。

      请使用 IPsecWebInitFile 作为 ipsecconf 命令的参数。如果您使用 ipsecinit.conf 文件作为参数，则当文件中的策略已经在系统上实现时，ipsecconf 命令会生成错误。

      # ipseckey -c -f /etc/inet/secret/ipseckeys # ipsecconf -a /etc/inet/IPsecWebInitFile

    ---

    注意 –

    在执行 ipsecconf 命令时应阅读警告。已锁定的套接字（即已使用的套接字）提供了通向系统的不安全的后门。有关更广泛的讨论，请参见ipsecinit.conf 和 ipsecconf 的安全注意事项。该警告也适用于重新启动 in.iked 守护进程。

    ---

    您也可以重新引导。重新引导可确保 IPsec 策略在所有 TCP 连接上都有效。重新引导时，TCP 连接使用 IPsec 策略文件中的策略。

12. （可选的）使远程系统与 Web 服务器进行非 Web 通信。

    在远程系统的 ipsecinit.conf 文件中键入以下策略：

    # Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

    仅当系统的 IPsec 策略匹配时，远程系统才能与 Web 服务器安全地进行非 Web 通信。

如何显示 IPsec 策略

当您发出不带任何参数的 ipsecconf 命令时，便可以查看在系统中配置的策略。

开始之前

必须在全局区域中运行 ipsecconf 命令。对于专用 IP 区域，请在非全局区域中运行 ipsecconf 命令。

1. 承担拥有网络 IPsec 管理配置文件的角色或成为超级用户。

   如果您运行的是 Solaris 10 4/09 发行版之前的发行版，则网络 IPsec 管理配置文件不可用。请使用网络安全配置文件。

   有关如何创建拥有网络安全配置文件的角色并将该角色指定给用户的信息，请参见如何配置网络安全角色。

2. 显示 IPsec 策略。

   1. 按照全局 IPsec 策略项的添加顺序显示这些项。

      $ ipsecconf

      此命令将每项显示为后面跟有一个数字的索引。

   2. 按照匹配项出现的顺序显示 IPsec 策略项。

      $ ipsecconf -l

   3. 按照匹配项出现的顺序显示 IPsec 策略项，包括每个隧道的项。

      $ ipsecconf -L

如何在 Solaris 系统上生成随机数

如果您要手动指定密钥，则加密材料必须是随机的。对于 Solaris 系统，其加密材料的格式是十六进制的。其他操作系统可能需要 ASCII 加密材料。如果要为 Solaris 系统生成加密材料，而且此系统与需要 ASCII 的操作系统通信，请参见示例 23–1。

如果站点具有随机数生成器，请使用该生成器。否则，可以使用 od 命令，并将 /dev/random Solaris 设备作为输入。有关更多信息，请参见 od(1) 手册页。

在 Solaris 10 4/09 发行版中，您也可以使用 pktool 命令。该命令的语法比 od 命令的语法更为简单。有关详细信息，请参见《System Administration Guide: Security Services》中的“How to Generate a Symmetric Key by Using the pktool Command”。

1. 生成十六进制格式的随机数。

   % od -x|-X -A n file | head -n

   -x

   显示十六进制格式的八进制转储。十六进制格式对加密材料有用。十六进制以 4 个字符的块显示。

   -X

   显示十六进制格式的八进制转储。十六进制以 8 个字符的块显示。

   -A n

   从显示中删除输入偏移基址。

   file

   作为随机数的源。

   head -n

   将显示限制在输出的前 n 行中。

2. 合并输出以创建适当长度的密钥。

   删除一行上的数字之间的空格，来创建 32 字符的密钥。一个 32 字符的密钥为 128 位。对于安全参数索引 (security parameter index, SPI)，您应该使用 8 字符的密钥。密钥应该使用 0x 前缀。

示例 20–3 生成 IPsec 的加密材料

以下示例显示两行八个十六进制字符为一组的密钥。

% od -X -A n /dev/random | head -2
         d54d1536 4a3e0352 0faf93bd 24fd6cad
         8ecc2670 f3447465 20db0b0c c83f5a4b

通过合并第一行上的四个数字，可以创建一个 32 字符的密钥。以 0x 开头的 8 字符数提供了合适的 SPI 值，如 0xf3447465。

以下示例显示两行四个十六进制字符为一组的密钥。

% od -x -A n /dev/random | head -2
         34ce 56b2 8b1b 3677 9231 42e9 80b0 c673
         2f74 2817 8026 df68 12f4 905a db3d ef27

通过合并第一行上的八个数字，可以创建一个 32 字符的密钥。

如何手动创建 IPsec 安全关联

以下过程提供了如何使用 IPsec 保证两个系统之间的通信安全过程的加密材料。您要为两个系统（partym 和 enigma）生成密钥。您在一个系统上生成密钥，然后在两个系统中使用在第一个系统中生成的密钥。

开始之前

必须位于全局区域中才能手动管理共享 IP 区域的加密材料。

1. 为 SA 生成加密材料。

   您需要将三个十六进制随机数用于外发通信，三个十六进制随机数用于传入通信。

   因此，一个系统需要生成以下数字：

   • 两个作为 spi 关键字值的十六进制随机数。一个数字用于外发通信，一个数字用于传入通信。每个数字的长度最大可以为八个字符。

   • 两个用于验证的 SHA1 算法的十六进制随机数。对于 160 位密钥，每个数字的长度必须为 40 个字符。一个数字用于 dst enigma，另一个数字用于 dst partym。

   • 两个用于 ESP 加密的 AES 算法的十六进制随机数。对于 256 位密钥，每个数字的长度必须为 64 个字符。一个数字用于 dst enigma，另一个数字用于 dst partym。

   如果您的站点上有随机数生成器，请使用此生成器。您也可以使用 od 命令。有关过程，请参见如何在 Solaris 系统上生成随机数。

2. 在其中一个系统的系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

3. 创建 SA。

   • 从 Solaris 10 4/09 发行版开始，请执行步骤 8 至步骤 10。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请执行步骤 4 至步骤 9。

4. 启用 ipseckey 命令模式。

   # ipseckey >

   > 提示符指明您处于 ipseckey 命令模式下。

5. 如果您要替换现有的 SA，请刷新当前的 SA。

   > flush >

   为防止入侵者有时间破坏您的 SA，您需要替换加密材料。

   ---

   注 –

   您必须在通信系统上协调密钥替换。当您在一个系统上替换 SA 时，也必须在远程系统上替换此 SA。

   ---

6. 要创建 SA，请键入以下命令。

   > add protocol spi random-hex-string \ src addr dst addr2 \ protocol-prefix_alg protocol-algorithm \ protocol-prefixkey random-hex-string-of-algorithm-specified-length

   也可使用此语法来替换已刷新的 SA。

   protocol

   指定 esp 或 ah。

   random-hex-string

   以十六进制格式指定最多包含八个字符的随机数。字符以 0x 开头。如果输入多于安全参数索引 (security parameter index, SPI) 所能接受的数字，系统会忽略多余的数字。如果输入少于 SPI 可接受的数字，系统对您的输入进行填充。

   addr

   指定一个系统的 IP 地址。

   addr2

   指定 addr 的同级系统的 IP 地址。

   protocol-prefix

   指定 encr 或 auth 中的一个。encr 前缀与 esp 协议一起使用。auth 前缀与 ah 协议一起使用，用于验证 esp 协议。

   protocol-algorithm

   为 ESP 或 AH 指定算法。每种算法都需要具有特定长度的密钥。

   验证算法包括 MD5 和 SHA1。从 Solaris 10 4/09 发行版开始，支持 SHA256 和 SHA512。加密算法包括 DES、3DES、AES 和 Blowfish。

   random-hex-string-of-algorithm-specified-length

   指定具有算法所要求长度的随机十六进制数。例如，MD5 算法要求其 128 位密钥使用 32 个字符的字符串。3DES 算法要求其 192 位密钥使用 48 个字符的字符串。

   1. 例如，在 enigma 系统上，保护外发的包。

      使用在步骤 1 中生成的随机数。

      对于 Solaris 10 1/06：

      > add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff >

      ---

      注 –

      同级系统必须使用相同的加密材料和相同的 SPI。

      ---

   2. 在 enigma 系统上，仍使用 ipseckey 命令模式保护传入的包。

      键入以下命令来保护包：

      > add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 >

      ---

      注 –

      对于每个 SA，密钥和 SPI 可以不同。您应该为每个 SA 指定不同的密钥和不同的 SPI。

      ---

7. 要退出 ipseckey 命令模式，请按 Ctrl-D 组合键或键入 quit。

8. 将加密材料添加到 /etc/inet/secret/ipseckeys 文件。

   在 Solaris 10 4/09 发行版之前的发行版中，此步骤可确保在重新引导时这些加密材料可用于 IPsec。

   /etc/inet/secret/ipseckeys 文件中的行与 ipseckey 命令行语言完全相同。

   1. 例如，enigma 系统上的 /etc/inet/secret/ipseckeys 文件的显示与以下内容类似：

      # ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745

   2. 使用只读权限保护该文件。

      # chmod 400 /etc/inet/secret/ipseckeys

9. 在 partym 系统上重复该过程。

   使用 enigma 上使用的相同加密材料。

   两个系统上的加密材料必须完全相同。如以下示例所示，只有 ipseckeys 文件中的注释不同。注释不同是因为 dst enigma 在 enigma 系统上为传入，在 partym 系统上为外发。

   # partym ipseckeys file # # for inbound packets add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for outbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745

10. 启用 manual-key 服务。

    # svcadm enable svc:/network/ipsec/manual-key

    要在当前发行版中替换密钥，请参见示例 20–4。

示例 20–4 替换 IPsec SA

在此示例中，管理员要配置运行当前 Solaris 10 发行版的系统。管理员生成新密钥，更改 ipseckeys 文件中的加密信息，然后重新启动服务。

• 首先，管理员通过完成如何在 Solaris 系统上生成随机数生成密钥。

• 然后，管理员在 /etc/inet/secret/ipseckeys 文件中使用所生成的密钥。

  管理员使用了相同的算法。因此，管理员只更改 SPI、encrkey 和 authkey 的值：

  add esp spi 0x8xzy1492 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey 0a1f3886b06ebd7d39f6f89e4c29c93f2741c6fa598a38af969907a29ab1b42a \ authkey a7230aabf513f35785da73e33b064608be41f69a # # add esp spi 0x177xce34\ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey 4ef5be40bf93498017b2151d788bb37e372f091add9b11149fba42435fefe328 \ authkey 0e1875d9ff8e42ab652766a5cad49f38c9152821

• 最后，管理员重新启动 manual-key 服务。添加新密钥前，重新启动命令会刷新旧密钥。

  # svcadm restart manual-key

如何检验包是否受 IPsec 保护

要检验包是否受到保护，请使用 snoop 命令来测试连接。以下前缀可以在 snoop 输出中显示：

• AH: 前缀指明 AH 正在保护头。如果已使用 auth_alg 来保护通信，则会看到 AH:。

• ESP: 前缀指明正在发送加密数据。如果已使用 encr_auth_alg 或 encr_alg 来保护通信，则会看到 ESP:。

开始之前

您必须是超级用户或承担等效角色，才能创建 snoop 输出。必须可以同时访问两个系统才能测试连接。

1. 在一个系统（如 partym）上，成为超级用户。

   % su - Password: Type root password #

2. 在 partym 系统上，准备从远程系统搜寻包。

   在 partym 上的一个终端窗口中，从 enigma 系统搜寻包。

   # snoop -v enigma Using device /dev/hme (promiscuous mode)

3. 从远程系统发送包。

   在另一个终端窗口中，远程登录到 enigma 系统。提供您的口令。然后，成为超级用户并将包从 enigma 系统发送到 partym 系统。包应该由 snoop -v enigma 命令捕获。

   % ssh enigma Password: Type your password % su - Password: Type root password # ping partym

4. 检查 snoop 输出。

   在 partym 系统上，您应该看到在初始 IP 头信息之后显示 AH 和 ESP 信息的输出。类似以下内容的 AH 和 ESP 信息表明包正在受到保护：

   IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, enigma IP: Destination address = 192.168.13.213, partym IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...

如何配置网络安全角色

如果您要使用基于角色的访问控制 (role-based access control, RBAC) 来管理系统，请使用此过程提供网络管理角色或网络安全角色。

1. 在本地 prof_attr 数据库中查找网络权限配置文件。

   在当前发行版中，输出会显示类似于以下内容的信息：

   % cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security...

   如果您运行的是 Solaris 10 4/09 发行版之前的发行版，输出会显示类似于以下内容的信息：

   % cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration   Network Security:::Manage network and host security   System Administrator::: Network Management

   网络管理配置文件是系统管理员配置文件的补充配置文件。如果您将系统管理员权限配置文件纳入角色，则此角色可以执行网络管理配置文件中的命令。

2. 确定网络管理权限配置文件中具有的命令。

   % grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config … Network Management:suser:cmd:::/usr/sbin/snoop:uid=0

   使用权限 (privs=sys_net_config) 可以运行 solaris 策略命令。以超级用户 (uid=0) 身份可以运行 suser 策略命令。

3. 确定网络安全角色在站点中的作用范围。

   使用步骤 1 中的权限配置文件定义指导您做出决定。

   • 要创建处理所有网络安全的角色，请使用网络安全权限配置文件。

   • 在当前发行版中，要创建只处理 IPsec 和 IKE 的角色，请使用网络 IPsec 管理权限配置文件。

4. 创建拥有网络管理权限配置文件的网络安全角色。

   对于拥有除网络管理配置文件外还拥有网络安全或网络 IPsec 管理权限配置文件的角色，除了可执行其他命令外，还可按相应的权限执行 ifconfig、snoop、ipsecconf 和 ipseckey 命令。

   要创建该角色、将该角色指定给用户以及使用名称服务注册更改，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。

示例 20–5 在角色之间划分网络安全职责

在此示例中，管理员要在两个角色之间划分网络安全职责。其中一个角色负责管理 wifi 和链路安全，另一个角色负责管理 IPsec 和 IKE。为每个角色指定三个人，一人一班。

管理员创建的角色如下：

• 管理员将第一个角色命名为 LinkWifi。

  • 管理员将网络 Wifi、网络链路安全和网络管理权限配置文件指定给该角色。

  • 然后，管理员将 LinkWifi 角色指定给适当的用户。

• 管理员将第二个角色命名为 IPsec Administrator。

  • 管理员将网络 IPsec 管理和网络管理权限配置文件指定给该角色。

  • 然后，管理员将 IPsec Administrator 角色指定给适当的用户。

如何管理 IKE 和 IPsec 服务

以下步骤提供了最有可能针对 IPsec、IKE 和手动密钥管理使用 SMF 服务的情况。缺省情况下，policy 和 ipsecalgs 服务处于启用状态，而 ike 和 manual-key 服务处于禁用状态。

1. 要管理 IPsec 策略，请执行以下操作之一：

   • 将新策略添加到 ipsecinit.conf 文件后，刷新 policy 服务。

     # svcadm refresh svc:/network/ipsec/policy

   • 更改服务属性的值后，查看属性值，然后刷新并重新启动 policy 服务。

     # svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svcprop -p config/config_file policy /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy

2. 要自动管理密钥，请执行以下操作之一：

   • 将项添加到 /etc/inet/ike/config 文件后，启用 ike 服务。

     # svcadm enable svc:/network/ipsec/ike

   • 更改 /etc/inet/ike/config 文件中的项后，刷新 ike 服务。

     # svcadm refresh svc:/network/ipsec/ike

   • 更改服务属性的值后，查看属性值，然后刷新并重新启动服务。

     # svccfg -s ike setprop config/admin_privilege=modkeys # svcprop -p config/admin_privilege ike modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike

   • 要停止 ike 服务，请将其禁用。

     # svcadm disable svc:/network/ipsec/ike

3. 要手动管理密钥，请执行以下操作之一：

   • 将项添加到 /etc/inet/secret/ipseckeys 文件后，启用 manual-key 服务。

     # svcadm enable svc:/network/ipsec/manual-key

   • 更改 ipseckeys 文件后，刷新服务。

     # svcadm refresh manual-key

   • 更改服务属性的值后，查看属性值，然后刷新并重新启动服务。

     # svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svcprop -p config/config_file manual-key /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key

   • 要阻止手动密钥管理，请禁用 manual-key 服务。

     # svcadm disable svc:/network/ipsec/manual-key

4. 如果修改 IPsec 协议和算法表，请刷新 ipsecalgs 服务。

   # svcadm refresh svc:/network/ipsec/ipsecalgs

故障排除

使用 svcs service 命令找到服务的状态。如果服务处于 maintenance 模式，请遵循 svcs -x service 命令输出的调试建议。

使用 IPsec 保护 VPN

IPsec 隧道可以保护 VPN。在 Solaris 10 7/07 发行版中，隧道可以处于隧道模式或传输模式下。隧道模式可与其他供应商的 IPsec 实现交互使用。传输模式可与 Solaris OS 的早期版本交互使用。有关隧道模式的讨论，请参见IPsec 中的传输模式和隧道模式。

处于隧道模式的隧道可提供对通信的更精细控制。在隧道模式中，对于内部 IP 地址，可以为单个端口指定所需的特定保护。

• 有关处于隧道模式的隧道的 IPsec 策略的示例，请参见使用 IPsec 保护 VPN 的示例（使用处于隧道模式的隧道）。

• 有关保护 VPN 的过程，请参见使用 IPsec 保护 VPN（任务列表） 。

使用 IPsec 保护 VPN 的示例（使用处于隧道模式的隧道）

图 20–1 IPsec 隧道示意图

以下示例假设这些 LAN 的所有子网都配置了隧道：

## Tunnel configuration ##
# Tunnel name is ip.tun0
# Intranet point for the source is 10.1.2.1
# Intranet point for the destination is 10.2.3.1
# Tunnel source is 192.168.1.10
# Tunnel destination is 192.168.2.10

示例 20–6 创建一个所有子网都可以使用的隧道

在此示例中，来自图 20–1 中的中心 LAN 的本地 LAN 的所有通信都可以通过隧道从路由器 1 传送到路由器 2，然后再传送到国外 LAN 的所有本地 LAN。通信使用 AES 进行加密。

## IPsec policy ##
{tunnel ip.tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

示例 20–7 创建一个仅连接两个子网的隧道

在此示例中，仅为中心 LAN 的子网 10.1.2.0/24 和国外 LAN 的子网 10.2.3.0/24 之间的通信建立了隧道并对通信进行了加密。在中心 LAN 没有其他 IPsec 策略的情况下，如果中心 LAN 尝试通过此隧道路由其他 LAN 的任何通信，则通信会在路由器 1 处被丢弃。

## IPsec policy ##
{tunnel ip.tun0 negotiate tunnel laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs aes encr_auth_algs md5 sha1 shared}

示例 20–8 仅在两个子网之间为电子邮件通信创建隧道

在此示例中，仅为电子邮件通信创建隧道。通信从中心 LAN 的子网 10.1.2.0/24 传送到国外 LAN 的子网 10.2.3.0/24 上的电子邮件服务器。电子邮件使用 Blowfish 进行加密。这些策略可应用于远程电子邮件端口和本地电子邮件端口。rport 策略可保护从中心 LAN 发送到国外 LAN 远程电子邮件端口的电子邮件。lport 策略可以保护中心 LAN 在本地端口 25 接收到的来自国外 LAN 的电子邮件。

## IPsec policy for email from Central to Overseas ##
{tunnel ip.tun0 negotiate tunnel ulp tcp rport 25 
 laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

## IPsec policy for email from Overseas to Central ##
{tunnel ip.tun0 negotiate tunnel ulp tcp lport 25 
 laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

示例 20–9 为所有子网的 FTP 通信创建隧道

在此示例中，IPsec 策略使用 AES 保护图 20–1 中用于从中心 LAN 的所有子网向国外 LAN 的所有子网传输数据的 FTP 端口。此配置适用于 FTP 的主动模式。

## IPsec policy for outbound FTP from Central to Overseas ##
{tunnel ip.tun0 negotiate tunnel ulp tcp rport 21} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
{tunnel ip.tun0 negotiate tunnel ulp tcp lport 20} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

## IPsec policy for inbound FTP from Central to Overseas ##
{tunnel ip.tun0 negotiate tunnel ulp tcp lport 21} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
{tunnel ip.tun0 negotiate tunnel ulp tcp rport 20} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

使用 IPsec 保护 VPN（任务列表）

以下任务列表列出了配置 IPsec 以保护 Internet 上的通信的相关过程的参考链接。可使用这些过程在由 Internet 分隔的两个系统之间设置安全的虚拟专用网络 (virtual private network, VPN)。该技术的一种常见用途是确保在家里办公的员工与其公司办公室之间的通信安全。

用于保护 VPN 的 IPsec 任务的网络拓扑说明

本节中的过程假设您已经进行了以下设置。有关此网络的描述，请参见图 20–2。

• 每个系统都使用 IPv4 地址空间。

  有关使用 IPv6 地址的类似示例，请参见如何使用通过 Ipv6 实现的处于隧道模式的 IPsec 隧道保护 VPN。

• 每个系统都有两个接口。hme0 接口连接到 Internet。在此示例中，Internet IP 地址以 192.168 开始。hme1 接口连接到公司的 LAN（即公司的内联网）。在此示例中，内联网 IP 地址以数字 10 开始。

• 每个系统都需要采用 SHA–1 算法的 ESP 验证。SHA–1 算法需要 160 位的密钥。

• 每个系统都需要采用 AES 算法的 ESP 加密。AES 算法使用 128 位或 256 位的密钥。

• 每个系统都可以连接到能直接访问 Internet 的路由器。

• 每个系统都使用共享安全关联。

图 20–2 由 Internet 分隔的办公室之间的 VPN 样例

如前面的说明所示，IPv4 网络过程使用以下配置参数。

enigma

partym

hme1

hme1

10.16.16.6

10.1.3.3

hme0

hme0

192.168.116.16

192.168.13.213

router-E

router-C

192.168.116.4

192.168.13.5

ip.tun0

ip.tun0

下面的 IPv6 地址在过程中使用。隧道名称相同。

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

2001::aaaa:0:4

2001::eeee:0:1

如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN

在隧道模式下，内部 IP 包决定保护其内容的 IPsec 策略。

此过程扩展了如何使用 IPsec 保证两个系统之间的通信安全过程。用于保护 VPN 的 IPsec 任务的网络拓扑说明介绍了具体设置。

在两个系统中执行此过程中的步骤。

除了连接两个系统之外，还要连接两个连接到这两个系统的内联网。此过程中的系统作为网关使用。

开始之前

必须位于全局区域中才能为系统或共享 IP 区域配置 IPsec 策略。对于专用 IP 区域，请在非全局区域中配置 IPsec 策略。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在配置 IPsec 之前控制包流。

   1. 确保 IP 转发和 IP 动态路由功能均处于禁用状态。

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled …

      如果已启用 IP 转发和 IP 动态路由功能，您可以通过键入以下内容来禁用它们：

      # routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

      关闭 IP 转发功能可阻止包通过此系统从一个网络转发到另一个网络。有关 routeadm 命令的说明，请参见 routeadm(1M) 手册页。

   2. 打开 IP 严格目标多宿主。

      # ndd -set /dev/ip ip_strict_dst_multihoming 1

      打开 IP 严格目标多宿主可确保发往系统的目标地址之一的包到达正确的目标地址。

      启用严格目标多宿主时，到达特定接口的包必须传送到此接口的本地 IP 地址之一。所有其他包，甚至是传送到系统其他本地地址的包，均被丢弃。

      ---

      注意 –

      系统启动时多宿主值会恢复为缺省值。要使更改的值具有持久性，请参见如何防止 IP 电子欺骗。

      ---

   3. 禁用多数网络服务，也可能会禁用所有网络服务。

      ---

      注 –

      如果系统中安装了“受限制的”SMF 配置文件，则可以跳过此步骤。将禁用网络服务（Solaris 安全 Shell 除外）。

      ---

      禁用网络服务可防止 IP 包危害系统。例如，可以采用 SNMP 守护进程、telnet 连接或 rlogin 连接。

      选择以下选项之一：

      • 如果运行的是 Solaris 10 11/06 发行版或更高版本，请运行“受限制的”SMF 配置文件。

        # netservices limited

      • 否则，单独禁用网络服务。

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. 检验是否已禁用大多数网络服务。

      检验回送挂载和 ssh 服务是否正在运行。

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. 在两个系统间添加一对 SA。

   选择以下选项之一：

   • 将 IKE 配置为管理 SA 的密钥。请使用配置 IKE（任务列表）中的过程之一来为 VPN 配置 IKE。

   • 如果您有充分的理由来手动管理密钥，请参见如何手动创建 IPsec 安全关联。

4. 添加 IPsec 策略。

   编辑 /etc/inet/ipsecinit.conf 文件来为 VPN 添加 IPsec 策略。要增强策略，请参见示例 20–12。有关其他示例，请参见使用 IPsec 保护 VPN 的示例（使用处于隧道模式的隧道）。

   在此策略中，本地 LAN 上的系统与网关的内部 IP 地址之间不需要 IPsec 保护，因此将添加 bypass 语句。

   1. 在 enigma 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. 在 partym 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. （可选的）检验 IPsec 策略文件的语法。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. 要配置隧道并使用 IPsec 对其加以保护，请根据 Solaris 发行版执行相应步骤：

   • 从 Solaris 10 4/09 发行版开始，请执行步骤 7 至步骤 13，然后运行步骤 22 中的路由协议。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请执行步骤 14 至步骤 22。

7. 在 etc/hostname.ip.tun0 文件中配置隧道 ip.tun0。

   此文件的语法如下所示：

   system1-point system2-point tsrc system1-taddr tdst system2-taddr router up

   1. 在 enigma 系统上，向 hostname.ip.tun0 文件添加以下项：

      10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

   2. 在 partym 系统上，向 hostname.ip.tun0 文件添加以下项：

      10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

8. 使用创建的 IPsec 策略保护隧道。

   # svcadm refresh svc:/network/ipsec/policy:default

9. 要将隧道配置文件的内容读入内核，请重新启动网络服务。

   # svcadm restart svc:/network/initial:default

10. 为 hme1 接口打开 IP 转发功能。

    1. 在 enigma 系统上，将路由器项添加到 /etc/hostname.hme1 文件。

       192.168.116.16 router

    2. 在 partym 系统上，将路由器项添加到 /etc/hostname.hme1 文件。

       192.168.13.213 router

    IP 转发指可以转发来自其他位置的包。IP 转发也指由此接口发出的包可能源于其他位置。要成功转发包，必须打开接收接口和传送接口的 IP 转发功能。

    因为 hme1 接口在内联网内部，所以必须打开 hme1 的 IP 转发功能。因为 ip.tun0 通过 Internet 连接两个系统，所以必须打开 ip.tun0 的 IP 转发功能。

    hme0 接口已关闭其 IP 转发功能以阻止外部入侵者向受保护的内联网中注入包。外部是指 Internet。

11. 确保路由协议不在内联网内通告缺省的路由。

    1. 在 enigma 系统上，将 private 标志添加到 /etc/hostname.hme0 文件。

       10.16.16.6 private

    2. 在 partym 系统上，将 private 标志添加到 /etc/hostname.hme0 文件。

       10.1.3.3 private

    即使 hme0 关闭 IP 转发功能，路由协议实现仍会通告接口。例如，in.routed 协议仍会通告 hme0 可将包转发到内联网中的对等接口。可以通过设置接口的专用标志，阻止这些通告。

12. 手动添加通过 hme0 接口实现的缺省路由。

    缺省路由必须是可以直接访问 Internet 的路由器。

    1. 在 enigma 系统上，添加以下路由：

       # route add default 192.168.116.4

    2. 在 partym 系统上，添加以下路由：

       # route add default 192.168.13.5

       即使 hme0 接口不是内联网的一部分，hme0 也需要通过 Internet 访问其同级系统。要找到其同级系统，hme0 需要有关 Internet 路由的信息。对于 Internet 的其他部分来说，VPN 系统像是一台主机，而不是路由器。因此，您可以使用缺省的路由器或运行路由器搜索协议来查找同级系统。有关更多信息，请参见 route(1M) 和 in.routed(1M) 手册页。

13. 要完成该过程，请转至步骤 22 运行路由协议。

14. 配置隧道 ip.tun0。

    ---

    注 –

    以下步骤用于在运行 Solaris 10 4/09 发行版之前的发行版的系统中配置隧道。

    ---

    使用 ifconfig 命令创建点对点接口：

    # ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr

    1. 在 enigma 系统上键入以下命令：

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213

    2. 在 partym 系统上键入以下命令：

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

15. 使用创建的 IPsec 策略保护隧道。

    # ipsecconf

16. 初启隧道的路由器。

    # ifconfig ip.tun0 router up

17. 为 hme1 接口打开 IP 转发功能。

    # ifconfig hme1 router

    IP 转发指可以转发来自其他位置的包。IP 转发也指由此接口发出的包可能源于其他位置。要成功转发包，必须打开接收接口和传送接口的 IP 转发功能。

    因为 hme1 接口在内联网内部，所以必须打开 hme1 的 IP 转发功能。因为 ip.tun0 通过 Internet 连接两个系统，所以必须打开 ip.tun0 的 IP 转发功能。

    hme0 接口已关闭其 IP 转发功能以阻止外部入侵者向受保护的内联网中注入包。外部是指 Internet。

18. 确保路由协议不在内联网内通告缺省的路由。

    # ifconfig hme0 private

    即使 hme0 关闭 IP 转发功能，路由协议实现仍会通告接口。例如，in.routed 协议仍会通告 hme0 可将包转发到内联网中的对等接口。可以通过设置接口的专用标志，阻止这些通告。

19. 手动添加通过 hme0 实现的缺省路由。

    缺省路由必须是可以直接访问 Internet 的路由器。

    1. 在 enigma 系统上，添加以下路由：

       # route add default 192.168.116.4

    2. 在 partym 系统上，添加以下路由：

       # route add default 192.168.13.5

       即使 hme0 接口不是内联网的一部分，hme0 也需要通过 Internet 访问其同级系统。要找到其同级系统，hme0 需要有关 Internet 路由的信息。对于 Internet 的其他部分来说，VPN 系统像是一台主机，而不是路由器。因此，您可以使用缺省的路由器或运行路由器搜索协议来查找同级系统。有关更多信息，请参见 route(1M) 和 in.routed(1M) 手册页。

20. 通过向 /etc/hostname.ip.tun0 文件中添加项来确保 VPN 在系统重新引导后启动。

    system1-point system2-point tsrc system1-taddr tdst system2-taddr router up

    1. 在 enigma 系统上，向 hostname.ip.tun0 文件添加以下项：

       10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

    2. 在 partym 系统上，向 hostname.ip.tun0 文件添加以下项：

       10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

21. 将接口文件配置为将正确的参数传送到路由选择守护进程。

    1. 在 enigma 系统上，修改 /etc/hostname.interface 文件。

       # cat /etc/hostname.hme0 ## enigma 10.16.16.6 private

       # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router

    2. 在 partym 系统上，修改 /etc/hostname.interface 文件。

       # cat /etc/hostname.hme0 ## partym 10.1.3.3 private

       # cat /etc/hostname.hme1 ## partym 192.168.13.213 router

22. 运行路由协议。

    # routeadm -e ipv4-routing # routeadm -u

    您可能需要在运行路由协议之前先配置路由协议。有关更多信息，请参见Oracle Solaris ： 中的路由协议。有关过程，请参见如何配置 IPv4 路由器。

示例 20–10 测试时创建临时隧道

在此示例中，管理员在 Solaris 10 4/09 系统中测试隧道的创建情况。稍后，管理员将使用如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN过程使隧道成为永久隧道。在测试过程中，管理员在系统 system1 和 system2 上执行以下一系列步骤：

• 在两个系统上，管理员完成如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN的前五步。

• 管理员使用 ifconfig 命令检测并配置临时隧道。

  system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

• 管理员对隧道启用 IPsec 策略。该策略是在如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN的步骤 4 中创建的。

  system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default

• 管理员使 Internet 接口成为路由器，并防止路由协议通过内联网接口传送。

  system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private

• 管理员在两个系统上通过完成如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN的步骤 12 和步骤 22，手动添加路由并运行路由协议。

示例 20–11 使用命令行为早期版本的 Solaris 系统创建隧道

在 Solaris 10 7/07 发行版中，简化了 ifconfig 命令的语法。在此示例中，管理员将针对运行 Solaris 10 7/07 发行版之前的 Solaris 版本的系统测试隧道创建情况。通过使用 ifconfig 命令的原始语法，管理员可以在两个通信系统中使用完全相同的命令。稍后，管理员将使用如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN使隧道成为永久隧道。

在测试过程中，管理员在系统 system1 和 system2 上执行以下步骤：

• 在两个系统上，管理员完成如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN的前五步。

• 管理员检测并配置隧道。

  system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 system1 # ifconfig ip.tun0 router up

  # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16 \ encr_algs aes encr_auth_algs sha1 system2 # ifconfig ip.tun0 router up

• 管理员对隧道启用 IPsec 策略。该策略是在如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN的步骤 4 中创建的。

  system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default

• 管理员使 Internet 接口成为路由器，并防止路由协议通过内联网接口传送。

  system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private

• 管理员在两个系统上通过完成如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN的步骤 12 和步骤 22 来添加路由。

示例 20–12 在 LAN 中所有系统中要求 IPsec 策略

在此示例中，管理员注释掉了在步骤 4 中配置的 bypass 策略，从而加强了保护。通过此策略配置，LAN 中的每个系统都必须激活 IPsec 以便与路由器通信。

# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1}

示例 20–13 使用 IPsec 保护 Telnet 通信以及使用 IPsec 保护 SMTP 通信（二者不同）

在此示例中，第一条规则使用 Blowfish 和 SHA-1 保护端口 23 上的 telnet 通信。第二条规则使用 AES 和 MD5 保护端口 25 上的 SMTP 通信。

{laddr 10.1.3.3 ulp tcp dport 23 dir both} 
  ipsec {encr_algs blowfish encr_auth_algs sha1 sa unique}
{laddr 10.1.3.3 ulp tcp dport 25 dir both} 
 ipsec {encr_algs aes encr_auth_algs md5 sa unique}

示例 20–14 使用处于隧道模式的 IPsec 隧道保护子网通信以及使用处于隧道模式的 IPsec 隧道保护其他网络通信（二者不同）

以下隧道配置保护子网 10.1.3.0/24 在隧道上的所有通信：

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

以下隧道配置保护子网 10.1.3.0/24 在隧道上与不同子网的通信。以 10.2.x.x 开头的子网要经由隧道。

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.1.0/24} 
  ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.2.0/24} 
  ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.3.0/24} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

如何使用通过 Ipv6 实现的处于隧道模式的 IPsec 隧道保护 VPN

要在 IPv6 网络中设置 VPN，您需要执行与针对 IPv4 网络执行的步骤相同的步骤。但是，命令的语法稍有不同。有关运行特定命令的更详尽的原因说明，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN中的相应步骤。

在两个系统中执行此过程中的步骤。

此过程使用以下配置参数。

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在配置 IPsec 之前控制包流。

   有关这些命令的作用，请参见步骤 2中的如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN。

   1. 确保 IP 转发和 IP 动态路由功能均处于禁用状态。

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      如果已启用 IP 转发和 IP 动态路由功能，您可以通过键入以下内容来禁用它们：

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. 打开 IP 严格目标多宿主。

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      注意 –

      系统引导时，会将 ip6_strict_dst_multihoming 的值恢复为缺省值。要使更改的值具有持久性，请参见如何防止 IP 电子欺骗。

      ---

   3. 禁用多数网络服务，也可能会禁用所有网络服务。

      ---

      注 –

      如果系统中安装了“受限制的”SMF 配置文件，则可以跳过此步骤。将禁用网络服务（Solaris 安全 Shell 除外）。

      ---

      禁用网络服务可防止 IP 包危害系统。例如，可以采用 SNMP 守护进程、telnet 连接或 rlogin 连接。

      选择以下选项之一：

      • 如果运行的是 Solaris 10 11/06 发行版或更高版本，请运行“受限制的”SMF 配置文件。

        # netservices limited

      • 否则，单独禁用网络服务。

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. 检验是否已禁用大多数网络服务。

      检验回送挂载和 ssh 服务是否正在运行。

      # svcs | grep network online Aug_02 svc:/network/loopback:default ... online Aug_09 svc:/network/ssh:default

3. 在两个系统间添加一对 SA。

   选择以下选项之一：

   • 将 IKE 配置为管理 SA 的密钥。请使用配置 IKE（任务列表）中的过程之一来为 VPN 配置 IKE。

   • 如果您有充分的理由来手动管理密钥，请参见如何手动创建 IPsec 安全关联。

4. 为 VPN 添加 IPsec 策略。

   编辑 /etc/inet/ipsecinit.conf 文件来为 VPN 添加 IPsec 策略。

   1. 在 enigma 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. 在 partym 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. （可选的）检验 IPsec 策略文件的语法。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. 要配置隧道并使用 IPsec 对其加以保护，请根据 Solaris 发行版执行相应步骤：

   • 从 Solaris 10 4/09 发行版开始，请执行步骤 7 至步骤 13，然后运行步骤 22 中的路由协议。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请执行步骤 14 至步骤 22。

7. 在 /etc/hostname.ip6.tun0 文件中配置隧道 ip6.tun0。

   1. 在 enigma 系统上，向 hostname.ip6.tun0 文件添加以下项：

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. 在 partym 系统上，向 hostname.ip6.tun0 文件添加以下项：

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. 使用创建的 IPsec 策略保护隧道。

   # svcadm refresh svc:/network/ipsec/policy:default

9. 要将隧道配置文件的内容读入内核，请重新启动网络服务。

   # svcadm restart svc:/network/initial:default

10. 为 hme1 接口打开 IP 转发功能。

    1. 在 enigma 系统上，将路由器项添加到 /etc/hostname6.hme1 文件。

       2001::aaaa:6666:6666 inet6 router

    2. 在 partym 系统上，将路由器项添加到 /etc/hostname6.hme1 文件。

       2001::eeee:3333:3333 inet6 router

11. 确保路由协议不在内联网内通告缺省的路由。

    1. 在 enigma 系统上，将 private 标志添加到 /etc/hostname6.hme0 文件。

       6000:6666::aaaa:1116 inet6 private

    2. 在 partym 系统上，将 private 标志添加到 /etc/hostname6.hme0 文件。

       6000:3333::eeee:1113 inet6 private

12. 手动添加通过 hme0 实现的缺省路由。

    1. 在 enigma 系统上，添加以下路由：

       # route add -inet6 default 2001::aaaa:0:4

    2. 在 partym 系统上，添加以下路由：

       # route add -inet6 default 2001::eeee:0:1

13. 要完成该过程，请转至步骤 22 运行路由协议。

14. 配置安全隧道 ip6.tun0。

    ---

    注 –

    以下步骤用于在运行 Solaris 10 4/09 发行版之前的发行版的系统中配置隧道。

    ---

    1. 在 enigma 系统上键入以下命令：

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. 在 partym 系统上键入以下命令：

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. 使用创建的 IPsec 策略保护隧道。

    # ipsecconf

16. 初启隧道的路由器。

    # ifconfig ip6.tun0 router up

17. 在每个系统上，为 hme1 接口打开 IP 转发功能。

    # ifconfig hme1 router

18. 确保路由协议不在内联网内通告缺省的路由。

    # ifconfig hme0 private

19. 手动添加通过 hme0 实现的缺省路由。

    缺省路由必须是可以直接访问 Internet 的路由器。

    1. 在 enigma 系统上，添加以下路由：

       # route add -inet6 default 2001::aaaa:0:4

    2. 在 partym 系统上，添加以下路由：

       # route add -inet6 default 2001::eeee:0:1

20. 通过向 /etc/hostname6.ip6.tun0 文件中添加项来确保 VPN 在系统重新引导后启动。

    该项复制在步骤 14 中传递到 ifconfig 命令的参数。

    1. 在 enigma 系统上，向 hostname6.ip6.tun0 文件添加以下项：

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. 在 partym 系统上，向 hostname6.ip6.tun0 文件添加以下项：

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. 在每个系统上，将接口文件配置为将正确的参数传送到路由选择守护进程。

    1. 在 enigma 系统上，修改 /etc/hostname6. interface 文件。

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. 在 partym 系统上，修改 /etc/hostname6. interface 文件。

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym 2001::eeee:3333:3333 inet6 router

22. 运行路由协议。

    # routeadm -e ipv6-routing # routeadm -u

    您可能需要在运行路由协议之前先配置路由协议。有关更多信息，请参见Oracle Solaris ： 中的路由协议。有关过程，请参见配置 IPv6 路由器。

如何使用通过 IPv4 实现的处于传输模式的 IPsec 隧道保护 VPN

在传输模式下，外部头决定保护内部 IP 包的 IPsec 策略。

此过程扩展了如何使用 IPsec 保证两个系统之间的通信安全过程。除了连接两个系统之外，还要连接两个连接到这两个系统的内联网。此过程中的系统作为网关使用。

此过程使用用于保护 VPN 的 IPsec 任务的网络拓扑说明中介绍的设置。有关运行特定命令的更详尽的原因说明，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN中的相应步骤。

在两个系统中执行此过程中的步骤。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在配置 IPsec 之前控制包流。

   1. 确保 IP 转发和 IP 动态路由功能均处于禁用状态。

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled …

      如果已启用 IP 转发和 IP 动态路由功能，您可以通过键入以下内容来禁用它们：

      # routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

   2. 打开 IP 严格目标多宿主。

      # ndd -set /dev/ip ip_strict_dst_multihoming 1

      ---

      注意 –

      系统引导时，会将 ip_strict_dst_multihoming 的值恢复为缺省值。要使更改的值具有持久性，请参见如何防止 IP 电子欺骗。

      ---

   3. 禁用多数网络服务，也可能会禁用所有网络服务。

      ---

      注 –

      如果系统中安装了“受限制的”SMF 配置文件，则可以跳过此步骤。将禁用网络服务（Solaris 安全 Shell 除外）。

      ---

      禁用网络服务可防止 IP 包危害系统。例如，可以采用 SNMP 守护进程、telnet 连接或 rlogin 连接。

      选择以下选项之一：

      • 如果运行的是 Solaris 10 11/06 发行版或更高版本，请运行“受限制的”SMF 配置文件。

        # netservices limited

      • 否则，单独禁用网络服务。

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. 检验是否已禁用大多数网络服务。

      检验回送挂载和 ssh 服务是否正在运行。

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. 在两个系统间添加一对 SA。

   选择以下选项之一：

   • 将 IKE 配置为管理 SA 的密钥。请使用配置 IKE（任务列表）中的过程之一来为 VPN 配置 IKE。

   • 如果您有充分的理由来手动管理密钥，请参见如何手动创建 IPsec 安全关联。

4. 添加 IPsec 策略。

   编辑 /etc/inet/ipsecinit.conf 文件来为 VPN 添加 IPsec 策略。要增强策略，请参见示例 20–15。

   1. 在 enigma 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. 在 partym 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. （可选的）检验 IPsec 策略文件的语法。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. 要配置隧道并使用 IPsec 对其加以保护，请根据 Solaris 发行版执行相应步骤：

   • 从 Solaris 10 4/09 发行版开始，请执行步骤 7 至步骤 13，然后运行步骤 22 中的路由协议。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请执行步骤 14 至步骤 22。

7. 在 /etc/hostname.ip.tun0 文件中配置隧道 ip.tun0。

   1. 在 enigma 系统上，向 hostname.ip.tun0 文件添加以下项：

      10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

   2. 在 partym 系统上，向 hostname.ip.tun0 文件添加以下项：

      10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

8. 使用创建的 IPsec 策略保护隧道。

   # svcadm refresh svc:/network/ipsec/policy:default

9. 要将 hostname.ip.tun0 文件的内容读入内核，请重新启动网络服务。

   # svcadm restart svc:/network/initial:default

10. 为 hme1 接口打开 IP 转发功能。

    1. 在 enigma 系统上，将路由器项添加到 /etc/hostname.hme1 文件。

       192.168.116.16 router

    2. 在 partym 系统上，将路由器项添加到 /etc/hostname.hme1 文件。

       192.168.13.213 router

11. 确保路由协议不在内联网内通告缺省的路由。

    1. 在 enigma 系统上，将 private 标志添加到 /etc/hostname.hme0 文件。

       10.16.16.6 private

    2. 在 partym 系统上，将 private 标志添加到 /etc/hostname.hme0 文件。

       10.1.3.3 private

12. 手动添加通过 hme0 实现的缺省路由。

    1. 在 enigma 系统上，添加以下路由：

       # route add default 192.168.116.4

    2. 在 partym 系统上，添加以下路由：

       # route add default 192.168.13.5

13. 要完成该过程，请转至步骤 22 运行路由协议。

14. 配置隧道 ip.tun0。

    ---

    注 –

    以下步骤用于在运行 Solaris 10 4/09 发行版之前的发行版的系统中配置隧道。

    ---

    使用 ifconfig 命令创建点对点接口：

    # ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr

    1. 在 enigma 系统上键入以下命令：

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213

    2. 在 partym 系统上键入以下命令：

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

15. 使用创建的 IPsec 策略保护隧道。

    # ipsecconf

16. 初启隧道的路由器。

    # ifconfig ip.tun0 router up

17. 为 hme1 接口打开 IP 转发功能。

    # ifconfig hme1 router

18. 确保路由协议不在内联网内通告缺省的路由。

    # ifconfig hme0 private

19. 手动添加通过 hme0 实现的缺省路由。

    缺省路由必须是可以直接访问 Internet 的路由器。

    # route add default router-on-hme0-subnet

    1. 在 enigma 系统上，添加以下路由：

       # route add default 192.168.116.4

    2. 在 partym 系统上，添加以下路由：

       # route add default 192.168.13.5

20. 通过向 /etc/hostname.ip.tun0 文件中添加项来确保 VPN 在系统重新引导后启动。

    system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up

    1. 在 enigma 系统上，向 hostname.ip.tun0 文件添加以下项：

       10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 router up

    2. 在 partym 系统上，向 hostname.ip.tun0 文件添加以下项：

       10.1.3.3 10.16.16.6 tsrc 192.168.13.213 \ tdst 192.168.116.16 router up

21. 将接口文件配置为将正确的参数传送到路由选择守护进程。

    1. 在 enigma 系统上，修改 /etc/hostname.interface 文件。

       # cat /etc/hostname.hme0 ## enigma 10.16.16.6 private

       # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router

    2. 在 partym 系统上，修改 /etc/hostname.interface 文件。

       # cat /etc/hostname.hme0 ## partym 10.1.3.3 private

       # cat /etc/hostname.hme1 ## partym 192.168.13.213 router

22. 运行路由协议。

    # routeadm -e ipv4-routing # routeadm -u

示例 20–15 在所有处于传输模式的系统上要求 IPsec 策略

在此示例中，管理员注释掉了在步骤 4 中配置的 bypass 策略，从而加强了保护。通过此策略配置，LAN 中的每个系统都必须激活 IPsec 以便与路由器通信。

# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

示例 20–16 使用过时的语法配置处于传输模式的 IPsec 隧道

在此示例中，管理员将 Solaris 10 7/07 系统与运行 Solaris 10 发行版的系统连接在一起。因此，管理员在配置文件中使用 Solaris 10 语法，并在 ifconfig 命令中包含 IPsec 算法。

管理员按照如何使用通过 IPv4 实现的处于传输模式的 IPsec 隧道保护 VPN过程进行操作，但在语法上进行了以下更改。

• 对于步骤 4，ipsecinit.conf 文件的语法如下所示：

  # LAN traffic to and from this address can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• 对于步骤 14 至步骤 16，配置安全隧道的语法如下所示：

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1

  传送到 ifconfig 命令的 IPsec 策略必须与 ipsecinit.conf 文件中的 IPsec 策略相同。在重新引导时，每个系统都会读取 ipsecinit.conf 文件来获取其策略。

• 对于步骤 20，hostname.ip.tun0 文件的语法如下所示：

  10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 encr_algs aes encr_auth_algs sha1 router up

如何使用通过 Ipv6 实现的处于传输模式的 IPsec 隧道保护 VPN

要在 IPv6 网络中设置 VPN，您需要执行与针对 IPv4 网络执行的步骤相同的步骤。但是，命令的语法稍有不同。有关运行特定命令的更详尽的原因说明，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN中的相应步骤。

在两个系统中执行此过程中的步骤。

此过程使用以下配置参数。

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在配置 IPsec 之前控制包流。

   1. 确保 IP 转发和 IP 动态路由功能均处于禁用状态。

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      如果已启用 IP 转发和 IP 动态路由功能，您可以通过键入以下内容来禁用它们：

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. 打开 IP 严格目标多宿主。

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      注意 –

      系统引导时，会将 ip6_strict_dst_multihoming 的值恢复为缺省值。要使更改的值具有持久性，请参见如何防止 IP 电子欺骗。

      ---

   3. 检验是否已禁用大多数网络服务。

      检验回送挂载和 ssh 服务是否正在运行。

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. 在两个系统间添加一对 SA。

   选择以下选项之一：

   • 将 IKE 配置为管理 SA 的密钥。请使用配置 IKE（任务列表）中的过程之一来为 VPN 配置 IKE。

   • 如果您有充分的理由来手动管理密钥，请参见如何手动创建 IPsec 安全关联。

4. 添加 IPsec 策略。

   编辑 /etc/inet/ipsecinit.conf 文件来为 VPN 添加 IPsec 策略。

   1. 在 enigma 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

   2. 在 partym 系统上，将以下项键入到 ipsecinit.conf 文件中：

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

5. （可选的）检验 IPsec 策略文件的语法。

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. 要配置隧道并使用 IPsec 对其加以保护，请根据 Solaris 发行版执行相应步骤：

   • 从 Solaris 10 4/09 发行版开始，请执行步骤 7 至步骤 13，然后运行步骤 22 中的路由协议。

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请执行步骤 14 至步骤 22。

7. 在 /etc/hostname.ip6.tun0 文件中配置隧道 ip6.tun0。

   1. 在 enigma 系统上，向 hostname.ip6.tun0 文件添加以下项：

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. 在 partym 系统上，向 hostname.ip6.tun0 文件添加以下项：

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. 使用创建的 IPsec 策略保护隧道。

   # svcadm refresh svc:/network/ipsec/policy:default

9. 要将 hostname.ip6.tun0 文件的内容读入内核，请重新启动网络服务。

   # svcadm restart svc:/network/initial:default

10. 为 hme1 接口打开 IP 转发功能。

    1. 在 enigma 系统上，将路由器项添加到 /etc/hostname6.hme1 文件。

       2001::aaaa:6666:6666 inet6 router

    2. 在 partym 系统上，将路由器项添加到 /etc/hostname6.hme1 文件。

       2001::eeee:3333:3333 inet6 router

11. 确保路由协议不在内联网内通告缺省的路由。

    1. 在 enigma 系统上，将 private 标志添加到 /etc/hostname6.hme0 文件。

       6000:6666::aaaa:1116 inet6 private

    2. 在 partym 系统上，将 private 标志添加到 /etc/hostname6.hme0 文件。

       6000:3333::eeee:1113 inet6 private

12. 手动添加通过 hme0 实现的缺省路由。

    1. 在 enigma 系统上，添加以下路由：

       # route add -inet6 default 2001::aaaa:0:4

    2. 在 partym 系统上，添加以下路由：

       # route add -inet6 default 2001::eeee:0:1

13. 要完成该过程，请转至步骤 22 运行路由协议。

14. 配置安全隧道 ip6.tun0。

    ---

    注 –

    以下步骤用于在运行 Solaris 10 4/09 发行版之前的发行版的系统中配置隧道。

    ---

    1. 在 enigma 系统上键入以下命令：

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. 在 partym 系统上键入以下命令：

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. 使用创建的 IPsec 策略保护隧道。

    # ipsecconf

16. 初启隧道的路由器。

    # ifconfig ip6.tun0 router up

17. 为 hme1 接口打开 IP 转发功能。

    # ifconfig hme1 router

18. 确保路由协议不在内联网内通告缺省的路由。

    # ifconfig hme0 private

19. 在每个系统上手动添加通过 hme0 实现的缺省路由。

    缺省路由必须是可以直接访问 Internet 的路由器。

    1. 在 enigma 系统上，添加以下路由：

       # route add -inet6 default 2001::aaaa:0:4

    2. 在 partym 系统上，添加以下路由：

       # route add -inet6 default 2001::eeee:0:1

20. 在每个系统上，通过向 /etc/hostname6.ip6.tun0 文件中添加项来确保 VPN 在系统重新引导后启动。

    该项复制在步骤 14 中传递到 ifconfig 命令的参数。

    1. 在 enigma 系统上，向 hostname6.ip6.tun0 文件添加以下项：

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. 在 partym 系统上，向 hostname6.ip6.tun0 文件添加以下项：

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. 将接口文件配置为将正确的参数传送到路由选择守护进程。

    1. 在 enigma 系统上，修改 /etc/hostname6. interface 文件。

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. 在 partym 系统上，修改 /etc/hostname6. interface 文件。

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym2001::eeee:3333:3333 inet6 router

22. 运行路由协议。

    # routeadm -e ipv6-routing # routeadm -u

示例 20–17 使用过时的语法配置通过 IPv6 实现的处于传输模式的 IPsec

在此示例中，管理员将 Solaris 10 7/07 系统与运行 Solaris 10 发行版的系统连接在一起。因此，管理员在配置文件中使用 Solaris 10 语法，并在 ifconfig 命令中包含 IPsec 算法。

管理员按照如何使用通过 Ipv6 实现的处于传输模式的 IPsec 隧道保护 VPN过程进行操作，但在语法上进行了以下更改。

• 对于步骤 4，ipsecinit.conf 文件的语法如下所示：

  # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• 对于步骤 14 至步骤 17，配置安全隧道的语法如下所示：

  # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up

  传送到 ifconfig 命令的 IPsec 策略必须与 ipsecinit.conf 文件中的 IPsec 策略相同。在重新引导时，每个系统都会读取 ipsecinit.conf 文件来获取其策略。

• 对于步骤 20，hostname6.ip6.tun0 文件的语法如下所示：

  6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 router up

如何防止 IP 电子欺骗

要防止系统在未尝试对包进行解密的情况下将包转发至另一个接口，系统需要检查 IP 电子欺骗。一种预防方法是使用 ndd 命令设置 IP 严格目标多宿主参数。在 SMF 清单中设置了此参数时，系统重新引导时就会设置此参数。

在两个系统中执行此过程中的步骤。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。要创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

2. 创建用于检查 IP 电子欺骗的站点专用 SMF 清单。

   使用以下样例脚本 /var/svc/manifest/site/spoof_check.xml。

   <?xml version="1.0"?>
   <!DOCTYPE service_bundle SYSTEM "/usr/share/lib/xml/dtd/service_bundle.dtd.1">
   
   <service_bundle type='manifest' name='Custom:ip_spoof_checking'>
   
   <!--    This is a custom smf(5) manifest for this system. Place this
           file in /var/svc/manifest/site, the directory for local
           system customizations. The exec method uses an unstable
           interface to provide a degree of protection against IP
           spoofing attacks when this system is acting as a router.
   
           IP spoof protection can also be achieved by using ipfilter(5).
           If ipfilter is configured, this service can be disabled.
   
           Note: Unstable interfaces might be removed in later
           releases.  See attributes(5).
   -->
   
   <service
           name='site/ip_spoofcheck'
           type='service'
           version='1'>
   
           <create_default_instance enabled='false' />
           <single_instance />
   
           <!--    Don't enable spoof protection until the
                   network is up.
           -->
           <dependency
                   name='basic_network'
                   grouping='require_all'
                   restart_on='none'
                   type='service'>
           <service_fmri value='svc:/milestone/network' />
           </dependency>
   
           <exec_method
                   type='method'
                   name='start'
                   exec='/usr/sbin/ndd -set /dev/ip ip_strict_dst_multihoming 1'
   <!--    
        For an IPv6 network, use the IPv6 version of this command, as in:
                   exec='/usr/sbin/ndd -set /dev/ip ip6_strict_dst_multihoming 1
   -->
                   timeout_seconds='60'
           />
   
           <exec_method
                   type='method'
                   name='stop'
                   exec=':true'
                   timeout_seconds='3'
           />
   
           <property_group name='startd' type='framework'>
                   <propval
                           name='duration'
                           type='astring'
                           value='transient'
                   />
           </property_group>
   
           <stability value='Unstable' />
   
   </service>
   </service_bundle>

3. 将此清单导入到 SMF 系统信息库。

   # svccfg import /var/svc/manifest/site/spoof_check.xml

4. 启用 ip_spoofcheck 服务。

   使用在清单中定义的名称 /site/ip_spoofcheck。

   # svcadm enable /site/ip_spoofcheck

5. 检验 ip_spoofcheck 服务是否联机。

   # svcs /site/ip_spoofcheck

第 21 章 IP 安全体系结构（参考）

本章包含以下参考信息：

• IPsec 服务管理工具

• ipsecconf 命令

• ipsecinit.conf 文件

• ipsecalgs 命令

• IPsec 的安全关联数据库

• 用于在 IPsec 中生成密钥的实用程序

• 其他实用程序的 IPsec 扩展

有关如何在网络中实现 IPsec 的说明，请参见第 20 章。有关 IPsec 的概述，请参见第 19 章。

IPsec 服务管理工具

服务管理工具 (service management facility, SMF) 为 IPsec 提供以下服务：

• svc:/network/ipsec/policy 服务－管理 IPsec 策略。缺省情况下，此服务处于启用状态。config_file 属性的值确定了 ipsecinit.conf 文件的位置。初始值为 /etc/inet/ipsecinit.conf。

• svc:/network/ipsec/ipsecalgs 服务－管理可用于 IPsec 的算法。缺省情况下，此服务处于启用状态。

• svc:/network/ipsec/manual-key 服务－激活手动密钥管理。缺省情况下，此服务处于禁用状态。config_file 属性的值确定了 ipseckeys 配置文件的位置。初始值为 /etc/inet/secret/ipseckeys。

• svc:/network/ipsec/ike 服务－管理 IKE。缺省情况下，此服务处于禁用状态。有关可配置的属性，请参见IKE 服务管理工具。

有 SMF 的信息，请参见《系统管理指南：基本管理》中的第 18  章 “管理服务（概述）”。另请参见 smf(5)、svcadm(1M) 和 svccfg(1M) 手册页。

ipsecconf 命令

您可以使用 ipsecconf 命令为主机配置 IPsec 策略。当运行此命令来配置策略时，系统会在内核中创建 IPsec 策略项。系统使用这些项来检查所有传入和外发 IP 数据报的策略。转发的数据报不受使用此命令添加的策略检查的约束。ipsecconf 命令也可配置安全策略数据库 (security policy database, SPD)。

• 有关如何保护转发的包的信息，请参见 ifconfig(1M) 和 tun(7M)。

• 有关 IPsec 策略选项，请参见 ipsecconf(1M) 手册页。

• 有关如何使用 ipsecconf 命令保护系统间通信的说明，请参见配置 IKE（任务列表）。

您必须成为超级用户或承担等效角色，才能调用 ipsecconf 命令。此命令接受保护双向通信的项，同时也接受仅保护单向通信的项。

具有本地地址和远程地址格式的策略项可以借助单个策略项保护双向通信。例如，如果没有为指定的主机指定方向，则包含模式 laddr host1 和 raddr host2 的项会保护双向通信。因此，对于每台主机，只需一个策略项。

具有源地址到目标地址格式的策略项仅保护单向通信。例如，模式为 saddr host1 daddr host2 的策略项只保护传入通信或外发通信，不同时保护这两个方向的通信。因此，要保护双向通信，需要向 ipsecconf 命令传递另一个项，即 saddr host2 daddr host1。

要确保 IPsec 策略在引导计算机时处于活动状态，可以创建一个 IPsec 策略文件 /etc/inet/ipsecinit.conf。此文件在网络服务启动时读取。有关如何创建 IPsec 策略文件的说明，请参见使用 IPsec 保护通信（任务列表）。

从 Solaris 10 4/09 发行版开始，借助 -c 选项，ipsecconf 命令可检查作为参数提供的 IPsec 策略文件的语法。

由 ipsecconf 命令添加的策略项在系统重新引导后不会保留。要确保 IPsec 策略在系统引导时保持活动状态，请将策略项添加到 /etc/inet/ipsecinit.conf 文件。在当前发行版中，请刷新或启用 policy 服务。在 Solaris 10 4/09 发行版之前的发行版中，请重新引导或使用 ipsecconf 命令。例如，请参见使用 IPsec 保护通信（任务列表）。

ipsecinit.conf 文件

要在启动 Solaris 操作系统 (Solaris Operating System, Solaris OS) 时调用 IPsec 安全策略，请创建一个配置文件以通过特定的 IPsec 策略项来初始化 IPsec。此文件的缺省名称为 /etc/inet/ipsecinit.conf。有关策略项及其格式的详细信息，请参见 ipsecconf(1M) 手册页。配置策略之后，您可以使用 ipsecconf 命令来查看或修改现有配置。从 Solaris 10 4/09 发行版开始，可刷新 policy 服务来修改现有配置。

ipsecinit.conf 文件样例

Solaris 软件包含一个 IPsec 策略文件样例 ipsecinit.sample。您可以使用此文件作为模板来创建自己的 ipsecinit.conf 文件。ipsecinit.sample 文件包含以下示例：

#
# For example,
#
#	 {rport 23} ipsec {encr_algs des encr_auth_algs md5}
#
# will protect the telnet traffic originating from the host with ESP using
# DES and MD5. Also:
#
#	 {raddr 10.5.5.0/24} ipsec {auth_algs any}
#
# will protect traffic to or from the 10.5.5.0 subnet with AH 
# using any available algorithm.
#
#
# To do basic filtering, a drop rule may be used. For example:
#
#	 {lport 23 dir in} drop {}
#	 {lport 23 dir out} drop {}
# will disallow any remote system from telnetting in.
#
# If you are using IPv6, it may be useful to bypass neighbor discovery
# to allow in.iked to work properly with on-link neighbors. To do that,
# add the following lines:
#
#        {ulp ipv6-icmp type 133-137 dir both } pass { }
#
# This will allow neighbor discovery to work normally.

ipsecinit.conf 和 ipsecconf 的安全注意事项

在网络中传输 ipsecinit.conf 文件副本时请格外小心。入侵者可能会在系统读取网络挂载的文件时也读取此文件。例如，在从 NFS 挂载的文件系统中访问或复制 /etc/inet/ipsecinit.conf 文件时，入侵者可能会更改此文件中包含的策略。

请确保在启动任何通信之前已设置了 IPsec 策略，因为新添加的策略项可能会影响现有连接。同样，不要在通信期间更改策略。

特别要指出的是，不能针对在其上发出 connect() 或 accept() 函数调用的 SCTP、TCP 或 UDP 套接字更改 IPsec 策略。其策略不能更改的套接字称为锁定的套接字。新策略项不保护已锁定的套接字。有关更多信息，请参见 connect(3SOCKET) 和 accept(3SOCKET) 手册页。

保护您的名称系统。如果发生以下两种情况，则您的主机名不再值得信任：

• 您的源地址是可以在网络中查找到的主机。

• 您的名称系统受到威胁。

安全漏洞通常是由工具使用不当造成的，而并非由工具本身引起。应慎用 ipsecconf 命令。请将控制台或其他硬连接的 TTY 用作最安全的操作模式。

ipsecalgs 命令

Solaris 加密框架为 IPsec 提供验证和加密算法。ipsecalgs 命令可以列出每个 IPsec 协议支持的算法。ipsecalgs 配置存储在 /etc/inet/ipsecalgs 文件中。通常，不需要修改此文件。但是，如果需要修改此文件，请使用 ipsecalgs 命令。决不能直接编辑此文件。在当前发行版中，系统引导时会通过 svc:/network/ipsec/ipsecalgs:default 服务使支持的算法与内核同步。

有效的 IPsec 协议和算法由 RFC 2407 中介绍的 ISAKMP domain of interpretation, DOI（解释域）进行说明。通常，DOI（解释域）定义数据格式、网络通信交换类型，以及命名安全相关信息的约定。安全策略、加密算法和加密模式都属于安全相关信息。

具体而言，ISAKMP DOI 为有效的 IPsec 算法及其协议（PROTO_IPSEC_AH 和 PROTO_IPSEC_ESP）定义命名约定和编号约定。每个算法都仅与一项协议相关联。这些 ISAKMP DOI 定义位于 /etc/inet/ipsecalgs 文件中。算法和协议编号由 Internet 编号分配机构 (Internet Assigned Numbers Authority, IANA) 定义。使用 ipsecalgs 命令，可以针对 IPsec 扩展算法列表。

有关算法的更多信息，请参阅 ipsecalgs(1M) 手册页。有关 Solaris 加密框架的更多信息，请参见《系统管理指南：安全性服务》中的第 13  章 “Solaris 加密框架（概述）”。

IPsec 的安全关联数据库

有关 IPsec 安全服务加密材料的信息保留在安全关联数据库 (SADB) 中。安全关联 (security association, SA) 保护传入包和外发包。SADB 可能由某个用户进程维护，也可能由多个协作进程（以特定类的套接字发送消息）维护。这种维护 SADB 的方法类似于 route(7P) 手册页中介绍的方法。只有超级用户或承担等效角色的用户才能访问此数据库。

in.iked 守护进程和 ipseckey 命令使用 PF_KEY 套接字接口维护 SADB。有关 SADB 如何处理请求和消息的更多信息，请参见 pf_key(7P) 手册页。

用于在 IPsec 中生成密钥的实用程序

IKE（Internet 密钥交换）协议提供自动执行的 IPv4 和 IPv6 地址密钥管理。有关如何设置 IKE 的说明，请参见第 23 章。手动加密实用程序是 ipseckey 命令，在 ipseckey(1M) 手册页中对其进行了介绍。

可使用 ipseckey 命令手动填充安全关联数据库 (security associations database, SADB)。通常，由于某种原因而无法使用 IKE 时，会使用手动 SA 生成。但是，如果 SPI 值是唯一的，可以同时使用手动 SA 生成和 IKE。

ipseckey 命令可用于查看系统识别的所有 SA，无论密钥是手动添加的还是由 IKE 添加的。从 Solaris 10 4/09 发行版开始，借助 -c 选项，ipseckey 命令可检查作为参数提供的密钥文件的语法。

由 ipseckey 命令添加的 IPsec SA 在系统重新引导后不会保留。在当前发行版中，要在系统引导时启用手动添加的 SA，请将相应的项添加到 /etc/inet/secret/ipseckeys 文件，然后启用 svc:/network/ipsec/manual-key:default 服务。有关过程，请参见如何手动创建 IPsec 安全关联。

虽然 ipseckey 命令只有有限的常规选项，但是此命令支持丰富的命令语言。您可以指定使用专用于手动加密的程序接口发送请求。有关其他信息，请参见 pf_key(7P) 手册页。

ipseckey 的安全注意事项

超级用户或拥有网络安全或网络 IPsec 管理权限配置文件的角色可以使用 ipseckey 命令输入敏感的密钥加密信息。如果入侵者获得对此文件的访问权，便会威胁 IPsec 通信的安全。

当处理加密材料和使用 ipseckey 命令时，您应该考虑以下问题：

• 是否已更新加密材料？定期更新密钥是一项基本的安全措施。密钥更新可以防止遭到潜在的算法和密钥漏洞攻击，并且限制对已公开的密钥的破坏。

• TTY 是否联网？ipseckey 命令是否处于交互模式？

  • 在交互模式下，加密材料的安全即为此 TTY 通信的网络路径的安全。应该避免在明文 telnet 或 rlogin 会话中使用 ipseckey 命令。

  • 甚至本地窗口也可能受到读取窗口事件的隐藏程序的攻击。

• 是否已使用 -f 选项？是否通过网络访问文件？此文件是否完全公开？

  • 入侵者可能会在系统读取网络挂载的文件时也读取此文件。您应该避免使用包含加密材料的完全公开文件。

  • 保护您的名称系统。如果发生以下两种情况，则您的主机名不再值得信任：

    • 您的源地址是可以在网络中查找到的主机。

    • 您的名称系统受到威胁。

安全漏洞通常是由工具使用不当造成的，而并非由工具本身引起。应慎用 ipseckey 命令。请将控制台或其他硬连接的 TTY 用作最安全的操作模式。

其他实用程序的 IPsec 扩展

ifconfig 命令具有用来管理隧道接口上的 IPsec 策略的选项。snoop 命令可以解析 AH 头和 ESP 头。

ifconfig 命令和 IPsec

在 Solaris 10、Solaris 10 7/05、Solaris 10 1/06 和 Solaris 10 11/06 发行版中： 为了支持 IPsec，ifconfig 命令提供以下安全选项。在 Solaris 10 7/07 发行版中，这些安全选项由 ipsecconf 命令处理。

• auth_algs

• encr_auth_algs

• encr_algs

必须在一次调用中为隧道指定所有 IPsec 安全选项。例如，如果只使用 ESP 保护通信，则一次使用两个安全选项配置隧道 ip.tun0，如下所示：

# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5

同样，ipsecinit.conf 项将使用两个安全选项一次性配置隧道，如下所示：

# WAN traffic uses ESP with AES and MD5.
   {} ipsec {encr_algs aes encr_auth_algs md5}

auth_algs 安全选项

此选项使用指定的验证算法为隧道启用 IPsec AH。auth_algs 选项的格式如下所示：

auth_algs authentication-algorithm

对于算法，您可以通过指定一个数字或一个算法名称（包括参数 any）来表示没有特定的算法首选项。要禁用隧道安全性，请指定以下选项：

auth_algs none

要获得可用验证算法的列表，请运行 ipsecalgs 命令。

auth_algs 选项不能用于 NAT 遍历。有关更多信息，请参见IPsec 和 NAT 遍历。

encr_auth_algs 安全选项

此选项使用指定的验证算法为隧道启用 IPsec ESP。encr_auth_algs 选项的格式如下所示：

encr_auth_algs authentication-algorithm

对于算法，您可以通过指定一个数字或一个算法名称（包括参数 any）来表示没有特定的算法首选项。如果指定一个 ESP 加密算法，但是未指定验证算法，则 ESP 验证算法的缺省值为参数 any。

要获得可用验证算法的列表，请运行 ipsecalgs 命令。

encr_algs 安全选项

此选项使用指定的加密算法为隧道启用 IPsec ESP。encr_algs 选项的格式如下所示：

encr_algs encryption-algorithm

对于算法，您可以指定一个数字或一个算法名称。要禁用隧道安全性，请指定以下选项：

encr_algs none

如果指定一个 ESP 验证算法，但是未指定加密算法，则 ESP 加密算法的缺省值为参数 null。

要获得可用加密算法的列表，请运行 ipsecalgs 命令。

snoop 命令和 IPsec

snoop 命令可以解析 AH 头和 ESP 头。由于 ESP 对自己的数据进行加密，因此，snoop 命令不能查看受 ESP 保护的加密头。AH 不会对数据进行加密。因此，可以使用 snoop 命令来检查受 AH 保护的通信。此命令的 -V 选项显示何时对包使用 AH。有关更多详细信息，请参见 snoop(1M) 手册页。

有关受保护包中的详细 snoop 输出样例，请参见如何检验包是否受 IPsec 保护。

第 22 章 Internet 密钥交换（概述）

Internet 密钥交换 (Internet Key Exchange, IKE) 自动进行 IPsec（Internet 协议安全）的密钥管理。本章包含有关 IKE 的以下信息：

• IKE 中的新增功能

• 使用 IKE 进行密钥管理

• IKE 密钥协商

• IKE 配置选择

• IKE 和硬件加速

• IKE 和硬件存储

• IKE 实用程序和文件

• Solaris 10 发行版对 IKE 的更改

有关实现 IKE 的说明，请参见第 23 章。有关参考信息，请参见第 24 章。有关 IPsec 的概述信息，请参见第 19 章。

IKE 中的新增功能

Solaris 10 4/09：从此发行版开始，服务管理工具 (Service Management Facility, SMF) 将 IKE 做为一种服务来管理。缺省情况下，会禁用 svc:/network/ipsec/ike:default 服务。而且，在此发行版中，还提供了网络 IPsec 管理权限配置文件以用于管理 IPsec 和 IKE。

Solaris 10 7/07：从此发行版开始，IKE 可使用 AES 算法，并可在全局区域中进行配置以便在非全局区域中使用。

• 通过使用 SO_ALLZONES 套接字选项，IKE 可以处理非全局区域中的通信流量。

• 有关 Solaris 新增功能的完整列表和 Solaris 发行版的说明，请参见《Oracle Solaris 10 9/10 新增功能》。

使用 IKE 进行密钥管理

对 IPsec 安全关联 (security association, SA) 的加密材料进行的管理称为密钥管理。自动密钥管理需要用于创建、验证和交换密钥的安全通信通道。Solaris 操作系统使用 Internet 密钥交换 (Internet Key Exchange, IKE) 自动进行密钥管理。IKE 可轻松扩展以便为大量通信提供安全通道。IPv4 和 IPv6 包中的 IPsec SA 可以利用 IKE。

在装有 Sun Crypto Accelerator 1000 板或 Sun Crypto Accelerator 4000 或 Sun Crypto Accelerator 6000 板的系统上使用 IKE 时，可以将公钥操作转移到加速器上。操作系统资源不用于公钥操作。在装有 Sun Crypto Accelerator 4000 或 Sun Crypto Accelerator 6000 板的系统上使用 IKE 时，可以将证书、公钥和私钥存储在该板上。脱离系统的密钥存储提供了进一步的保护。

IKE 密钥协商

IKE 守护进程 in.iked 以受保护方式协商和验证 SA 的加密材料。该守护进程使用来自 Solaris 操作系统提供的内部函数的随机密钥种子。IKE 提供完全正向保密 (perfect forward secrecy, PFS)。在 PFS 中，不能使用保护数据传输的密钥派生其他密钥。此外，不重新使用用于创建数据传输密钥的种子。请参见 in.iked(1M) 手册页。

当 IKE 守护进程搜索到远程系统的公共加密密钥时，本地系统就可以使用该密钥。该系统使用远程系统的公钥对消息进行加密。消息只能由该远程系统读取。IKE 守护进程分两个阶段执行作业。这两个阶段称为交换。

IKE 密钥术语

下表列出在密钥协商中使用的术语，提供其常用的首字母缩略词，并给出每个术语的定义和用法。

IKE 阶段 1 交换

阶段 1 交换称为主模式。在阶段 1 交换中，IKE 使用公钥加密方法向对等 IKE 实体进行自我验证。结果是 Internet 安全关联和密钥管理协议 (Internet Security Association and Key Management Protocol, ISAKMP) 安全关联 (security association, SA)。ISAKMP SA 是 IKE 用于协商 IP 数据报的加密材料的安全通道。与 IPsec SA 不同，ISAKMP SA 是双向的，因此只需要一个安全关联。

IKE 在阶段 1 交换中协商加密材料的方式是可配置的。IKE 从 /etc/inet/ike/config 文件读取配置信息。配置信息包括：

• 全局参数，如公钥证书的名称

• 是否使用完全正向保密 (perfect forward secrecy, PFS)

• 受影响的接口

• 安全协议及其算法

• 验证方法

两种验证方法是预先共享的密钥和公钥证书。公钥证书可以自签名。或者，证书可以由来自公钥基础结构 (public key infrastructure, PKI) 组织的 certificate authority, CA（证书颁发机构）颁发。这样的组织包括 beTrusted、Entrust、GeoTrust、RSA Security 和 Verisign。

IKE 阶段 2 交换

阶段 2 交换称为快速模式。在阶段 2 交换中，IKE 在运行 IKE 守护进程的系统之间创建和管理 IPsec SA。IKE 使用在阶段 1 交换中创建的安全通道保护加密材料的传输。IKE 守护进程使用 /dev/random 设备从随机数生成器创建密钥。该守护进程按可配置的速率刷新密钥。加密材料可供在 IPsec 策略的配置文件 ipsecinit.conf 中指定的算法使用。

IKE 配置选择

/etc/inet/ike/config 配置文件包含 IKE 策略项。为了使两个 IKE 守护进程相互验证，这些项必须是有效的。此外，加密材料必须可用。配置文件中的项确定使用加密材料验证阶段 1 交换的方法。可以选择预先共享的密钥或公钥证书。

项 auth_method preshared 指示使用预先共享的密钥。除 preshared 之外的 auth_method 值指示要使用公钥证书。公钥证书可以自签名，也可以从 PKI 组织安装。有关更多信息，请参见 ike.config(4) 手册页。

IKE，使用预先共享的密钥

预先共享的密钥由一个系统上的管理员创建。然后与远程系统的管理员在带外共享这些密钥。创建较大的随机密钥和保护文件及带外传输时应谨慎。这些密钥放置在每个系统上的 /etc/inet/secret/ike.preshared 文件中。ike.preshared 文件用于 IKE，而 ipseckeys 文件用于 IPsec。ike.preshared 文件中密钥的任何泄露都将泄露从该文件中的密钥派生的所有密钥。

系统的预先共享的密钥必须与其远端系统的密钥相同。这些密钥与特定的 IP 地址相关联。由一个管理员控制通信系统时，密钥是最安全的。有关更多信息，请参见 ike.preshared(4) 手册页。

IKE，使用公钥证书

使用公钥证书，通信系统就无需在带外共享秘密的加密材料。公钥使用 Diffie-Hellman protocol（Diffie-Hellman 协议）(DH) 来验证和协商密钥。公钥证书有两种类型。这些证书可以自签名，也可以由 certificate authority, CA（证书颁发机构）认证。

自签名的公钥证书由管理员创建。ikecert certlocal -ks 命令为系统创建公钥/私钥对的私钥部分。然后，从远程系统获取 X.509 格式的自签名证书输出。远程系统的证书是用于创建密钥对的公钥部分的 ikecert certdb 命令的输入。在通信系统上，自签名的证书驻留在 /etc/inet/ike/publickeys 目录中。使用 -T 选项时，证书驻留在连接的硬件上。

自签名的证书介于预先共享的密钥和 CA 中间。与预先共享的密钥不同，自签名的证书可以在移动机器或可能重新编号的系统上使用。要为没有固定编号的系统对证书自行签名，请使用 DNS (www.example.org) 或 email (root@domain.org) 替换名称。

公钥可以由 PKI 或 CA 组织提供。在 /etc/inet/ike/publickeys 目录中安装公钥及其相应的 CA。使用 -T 选项时，证书驻留在连接的硬件上。供应商还发布证书撤销列表 (certificate revocation list, CRL)。除安装密钥和 CA 以外，您还负责在 /etc/inet/ike/crls 目录中安装 CRL。

CA 的优势在于由外部组织而不是由站点管理员认证。在某种意义上，CA 是经过确认的证书。与自签名的证书一样，CA 可以在移动机器或可能重新编号的系统上使用。与自签名的证书不同的是，CA 可以非常容易地扩展以保护大量的通信系统。

IKE 和硬件加速

IKE 算法的计算开销很大，尤其是在阶段 1 交换中。处理大量交换的系统可以使用 Sun Crypto Accelerator 1000 板处理公钥操作。Sun Crypto Accelerator 6000 和 Sun Crypto Accelerator 4000 板也可用来处理开销很大的阶段 1 计算。

有关如何配置 IKE 以将其计算转移到加速器板的信息，请参见如何将 IKE 配置为查找 Sun Crypto Accelerator 1000 板。有关如何存储密钥的信息，请参见如何将 IKE 配置为查找 Sun Crypto Accelerator 4000 板和 cryptoadm(1M) 手册页。

IKE 和硬件存储

公钥证书、私钥和公钥可以存储在 Sun Crypto Accelerator 6000 或 Sun Crypto Accelerator 4000 板上。对于 RSA 加密，Sun Crypto Accelerator 4000 板最多支持 2048 位的密钥。对于 DSA 加密，该板最多支持 1024 位的密钥。Sun Crypto Accelerator 6000 板支持 SHA-512 和 ECC 算法。

有关如何配置 IKE 以访问该板的信息，请参见如何将 IKE 配置为查找 Sun Crypto Accelerator 1000 板。有关如何向该板添加证书和公钥的信息，请参见如何在硬件上生成和存储公钥证书。

IKE 实用程序和文件

下表概述了 IKE 策略的配置文件、IKE 密钥的存储位置以及实现 IKE 的各种命令和服务。有关服务的更多信息，请参见《系统管理指南：基本管理》中的第 18  章 “管理服务（概述）”。

Solaris 10 发行版对 IKE 的更改

从 Solaris 9 发行版开始，IKE 包括以下功能：

• 可以使用 IKE 在 IPv6 网络中自动进行 IPsec 的密钥交换。有关更多信息，请参见使用 IKE 进行密钥管理。

  ---

  注 –

  不能使用 IKE 在非全局区域中管理 IPsec 的密钥。

  ---

• IKE 中的公钥操作可以由 Sun Crypto Accelerator 1000 板或 Sun Crypto Accelerator 4000 板加速。有关操作都被转移到该板中。这样将加快加密过程，从而降低对操作系统资源的需求。有关更多信息，请参见IKE 和硬件加速。有关过程，请参见将 IKE 配置为查找连接的硬件（任务列表）。

• 公钥证书、私钥和公钥可以存储在 Sun Crypto Accelerator 4000 板上。有关密钥存储的更多信息，请参见IKE 和硬件存储。

• 可以使用 IKE 从 NAT 盒 (NAT box) 之后自动进行 IPsec 的密钥交换。通信流量必须使用 IPv4 网络。此外，遍历 NAT 的 IPsec ESP 密钥不能由硬件加速。有关更多信息，请参见IPsec 和 NAT 遍历。有关过程，请参见为移动系统配置 IKE（任务列表）。

• 重新传输参数和包超时参数已添加到 /etc/inet/ike/config 文件中。这些参数调整 IKE 阶段 1（主模式）协商，以处理网络干扰、网络通信流量过大以及与具有 IKE 协议的不同实现的平台的交互操作。有关这些参数的详细信息，请参见 ike.config(4) 手册页。有关过程，请参见更改 IKE 传输参数（任务列表）。

第 23 章 配置 IKE（任务）

本章介绍如何为系统配置 Internet 密钥交换 (Internet Key Exchange, IKE)。配置 IKE 后，它将自动为网络上的 IPsec 生成加密材料。本章包含以下信息：

• 配置 IKE（任务列表）

• 使用预先共享的密钥配置 IKE（任务列表）

• 使用公钥证书配置 IKE（任务列表）

• 为移动系统配置 IKE（任务列表）

• 将 IKE 配置为查找连接的硬件（任务列表）

• 更改 IKE 传输参数（任务列表）

有关 IKE 的概述信息，请参见第 22 章。有关 IKE 的参考信息，请参见第 24 章。有关更多过程，请参见 ikeadm(1M)、ikecert(1M) 和 ike.config(4) 手册页的示例部分。

配置 IKE（任务列表）

可以使用预先共享的密钥、自签名证书和证书颁发机构 (Certificate Authority, CA) 所颁发的证书来验证 IKE。规则将特定的 IKE 验证方法与受保护的端点相关联。因此，可以在系统上使用一种或所有 IKE 验证方法。利用指向 PKCS #11 库的指针，证书可以使用连接的硬件加速器。

配置 IKE 后，完成使用 IKE 配置的 IPsec 任务。下表提供了着重说明特定 IKE 配置的任务列表。

使用预先共享的密钥配置 IKE（任务列表）

下表包含使用预先共享的密钥配置和维护 IKE 的过程的链接。

使用预先共享的密钥配置 IKE

使用预先共享的密钥是验证 IKE 的最简单方法。如果要将两个系统配置为使用 IKE，而且您是这两个系统的管理员，则使用预先共享的密钥是一个良好的选择。但是，与公钥证书不同，预先共享的密钥与特定的 IP 地址相关联。预先共享的密钥不能用于移动系统或可能重新编号的系统。此外，在使用预先共享的密钥时，不能将 IKE 计算转移到连接的硬件。

如何使用预先共享的密钥配置 IKE

IKE 实现提供了采用可变密钥长度的算法。所选的密钥长度是由站点安全性确定的。通常，密钥越长，提供的安全性就越高。

以下过程使用系统名称 enigma 和 partym。请用您的系统名称替换名称 enigma 和 partym。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在每个系统上，将文件 /etc/inet/ike/config.sample 复制到文件 /etc/inet/ike/config。

3. 在每个系统上的 ike/config 文件中输入规则和全局参数。

   此文件中的规则和全局参数应该允许系统的 ipsecinit.conf 文件中的 IPsec 策略可以成功实施。以下是与如何使用 IPsec 保证两个系统之间的通信安全中的 ipsecinit.conf 示例配合使用的 ike/config 示例。

   1. 例如，在 enigma 系统上修改 /etc/inet/ike/config 文件：

      ### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Phase 1 transform defaults p1_lifetime_secs 14400 p1_nonce_len 40 # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }

      ---

      注 –

      auth_method 参数的所有变量都必须在同一行上。

      ---

   2. 在 partym 系统上修改 /etc/inet/ike/config 文件：

      ### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_lifetime_secs 14400 p1_nonce_len 40 # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }

4. 在每个系统上，检验该文件的语法。

   # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

5. 生成随机数以用作加密材料。

   如果站点具有随机数生成器，请使用该生成器。在 Solaris 系统上，可以使用 od 命令。例如，以下命令列显两行十六进制数：

   % od -X -A n /dev/random | head -2 f47cb0f4 32e14480 951095f8 2b735ba8 0a9467d0 8f92c880 68b6a40e 0efe067d

   有关 od 命令的说明，请参见如何在 Solaris 系统上生成随机数和 od(1) 手册页。

   ---

   注 –

   其他操作系统可能需要 ASCII 加密材料。要以十六进制格式和 ASCII 格式生成相同的密钥，请参见示例 23–1。

   ---

6. 利用步骤 5 的输出构造一个密钥。

   f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e

   此过程中的验证算法是 SHA–1，如步骤 3 所示。散列的大小（即验证算法输出的大小）确定预先共享密钥的最小建议大小。SHA–1 算法的输出是 160 位或 40 个字符。示例密钥的长度是 56 个字符，这将提供其他加密材料供 IKE 使用。

7. 在每个系统上创建文件 /etc/inet/secret/ike.preshared。

   在每个文件中放置预先共享的密钥。

   1. 例如，在 enigma 系统上，ike.preshared 文件的显示与以下信息类似：

      # ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # enigma and partym's shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }

   2. 在 partym 系统上，ike.preshared 文件的显示与以下信息类似：

      # ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # partym and enigma's shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }

   ---

   注 –

   每个系统上的预先共享密钥必须完全相同。

   ---

示例 23–1 为运行不同操作系统的两个系统生成相同的加密材料

Solaris IPsec 可与其他操作系统交互操作。如果您的系统与需要 ASCII 预先共享密钥的系统通信，则需要以两种格式（十六进制格式和 ASCII 格式）生成一个密钥。

在此示例中，Solaris 系统管理员需要 56 个字符的加密材料。该管理员使用以下命令从 ASCII 口令短语中生成十六进制的密钥。在所有 Solaris 系统中，-tx1 选项每次输出一个字节。

# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \
tr -d '\n' | tr -d ' ' | awk '{print}'
7061706965726d616368652077697468206361736865777320616e64

通过删除偏移和串联十六进制输出，Solaris 系统的十六进制密钥为 7061706965726d616368652077697468206361736865777320616e64。管理员可以将该值放在 Solaris 系统上的 ike.preshared 文件中。

# Shared key in hex (192 bits)
key 7061706965726d616368652077697468206361736865777320616e64

在需要 ASCII 预先共享密钥的系统中，口令短语就是预先共享的密钥。Solaris 系统管理员使用口令短语 papiermache with cashews and 给其他管理员打电话。

如何刷新 IKE 预先共享密钥

此过程假定您希望按固定的时间间隔替换现有的预先共享密钥。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 生成随机数，并构造适当长度的密钥。

   有关详细信息，请参见如何在 Solaris 系统上生成随机数。如果要为 Solaris 系统生成预先共享的密钥，而且此系统与需要 ASCII 的操作系统通信，请参见示例 23–1。

3. 将当前密钥替换为新密钥。

   例如，在主机 enigma 和 partym 上，将 /etc/inet/secret/ike.preshared 文件中 key 的值替换为一个相同长度的新数值。

4. 将新密钥读入内核。

   • 从 Solaris 10 4/09 发行版开始，请刷新 ike 服务。

     # svcadm refresh ike

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请中止并重新启动 in.iked 守护进程。

     1. 检查 in.iked 守护进程的权限级别。

        # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

        如果该命令返回权限级别 0x1 或 0x2，则您可以更改加密材料。级别 0x0 不允许执行修改或查看加密材料的操作。缺省情况下，in.iked 守护进程按权限级别 0x0 运行。

     2. 如果权限级别是 0x0，请先中止再重新启动该守护进程。

        守护进程重新启动时，它将读取新版本的 ike.preshared 文件。

        # pkill in.iked # /usr/lib/inet/in.iked

     3. 如果权限级别是 0x1 或 0x2，则读入新版本的 ike.preshared 文件。

        # ikeadm read preshared

如何查看 IKE 预先共享密钥

缺省情况下，ikeadm 命令会阻止您在阶段 1 SA 的转储中查看实际密钥。在调试期间查看密钥很有用。

要查看实际密钥，您必须提高守护进程的权限级别。有关权限级别的说明，请参见IKE 管理命令。

要在 Solaris 10 4/09 发行版之前的发行版中执行此过程，请参见示例 23–2。

开始之前

已配置 IKE，并且 ike 服务正在运行。

1. 查看 IKE 预先共享密钥。

   # ikeadm ikeadm> dump preshared

2. 如果出现错误，请提高 in.iked 守护进程的权限级别。

   1. 提高 SMF 系统信息库中 in.iked 守护进程的权限级别。

      # svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat

   2. 提高正在运行的 in.iked 守护进程的权限级别。

      # svcadm refresh ike ; svcadm restart ike

   3. （可选的）确认权限级别为 keymat。

      # svcprop -p config/admin_privilege ike keymat

   4. 通过再次运行步骤 1 查看密钥。

3. 将 IKE 守护进程恢复为 base 权限级别。

   1. 查看密钥后，将权限级别恢复为缺省级别。

      # svccfg -s ike setprop config/admin_privilege=base

   2. 刷新 IKE，然后再重新启动 IKE。

      # svcadm refresh ike ; svcadm restart ike

示例 23–2 在 Solaris 10 4/09 发行版之前的发行版中检验 IKE 预先共享密钥

在以下示例中，管理员要在运行的不是当前 Solaris 发行版的 Solaris 系统中查看密钥。管理员想要检验该系统中的密钥是否与通信系统中的密钥完全相同。检验两个系统中的密钥是否完全相同后，管理员将权限级别恢复为 0。

• 首先，管理员确定 in.iked 守护进程的权限级别。

  adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

• 由于权限级别不是 0x1 或 0x2，所以管理员会停止 in.iked 守护进程，然后将权限级别提高到 2。

  adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• 管理员显示密钥。

  adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).

• 管理员远程登录到通信系统，并确定密钥是否完全相同。

• 然后，管理员恢复权限的 base 级别。

  # ikeadm set priv base

如何为 ipsecinit.conf 中的新策略项添加 IKE 预先共享密钥

如果在 IPsec 和 IKE 正在运行时添加 IPsec 策略项，则必须将新的策略和 IKE 规则读入内核。从 Solaris 10 4/09 发行版开始，添加新密钥后，要重新启动 policy 服务并刷新 ike 服务。

要在 Solaris 10 4/09 发行版之前的发行版中执行此过程，请参见示例 23–3。

开始之前

此过程将假定以下内容：

• 按如何使用预先共享的密钥配置 IKE所述设置了 enigma 系统。

• enigma 系统将要用新系统 ada 保护其流量。

• in.iked 守护进程正在这两个系统上运行。

• 在这两个系统的 /etc/hosts 文件中，均会将这些系统的接口作为项列出。以下项是一个示例。

  192.168.15.7 ada 192.168.116.16 enigma

  此过程也适用于 /etc/inet/ipnodes 文件中的 IPv6 地址。 从 Solaris 10 6/07 发行版开始，IPv6 项会放置在 /etc/hosts 文件中。

• 已经在这两个系统上将新的策略项添加到 /etc/inet/ipsecinit.conf 文件。这些项的显示与以下信息类似：

  # ipsecinit.conf file for enigma {laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared}

  # ipsecinit.conf file for ada {laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

• 在当前发行版中，您已经使用以下命令在两个系统中检验了 /etc/inet/ipsecinit.conf 文件的语法。

  # ipsecconf -c -f /etc/inet/ipsecinit.conf

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在此系统中，生成随机数，并构造一个 64 位到 448 位的密钥。

   有关详细信息，请参见如何在 Solaris 系统上生成随机数。如果要为 Solaris 系统生成预先共享的密钥，而且此系统与需要 ASCII 的操作系统通信，请参见示例 23–1。

3. 以某种方法将密钥发送给远程系统的管理员。

   需要同时添加相同的预先共享密钥。密钥的安全性仅与传输机制的安全性相同。带外机制（如已注册的邮件或受保护的传真机）是最佳的。您也可以使用 ssh 会话管理这两个系统。

4. 为 IKE 创建一个规则以管理 enigma 和 ada 的密钥。

   1. 在 enigma 系统上，将以下规则添加到 /etc/inet/ike/config 文件：

      ### ike/config file on enigma, 192.168.116.16   ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }

   2. 在 ada 系统上，添加以下规则：

      ### ike/config file on ada, 192.168.15.7   ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }

5. 确保 IKE 预先共享密钥在重新引导时是可用的。

   1. 在 enigma 系统上，将以下信息添加到 /etc/inet/secret/ike.preshared 文件：

      # ike.preshared on enigma for the ada interface #  { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }

   2. 在 ada 系统上，将以下信息添加到 ike.preshared 文件：

      # ike.preshared on ada for the enigma interface #  { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }

6. 在每个系统上，重新启动 IPsec 策略服务以保证所添加的接口的安全。

   # svcadm restart policy

7. 在每个系统上，刷新 ike 服务。

   # svcadm refresh ike

8. 检验系统是否可以进行通信。

   请参见如何检验 IKE 预先共享密钥是否完全相同。

示例 23–3 为新的 IPsec 策略项添加 IKE 预先共享密钥

在以下示例中，管理员要将预先共享密钥添加到运行的不是当前 Solaris 发行版的 Solaris 系统。管理员遵循前面的过程来修改 ike/config 和 ike.preshared 文件，然后生成密钥并联系远程系统。管理员使用不同的命令将新的 IPsec 策略和 IKE 规则读入内核。

• 在生成新密钥之前，管理员将 in.iked 守护进程的权限级别设置为 2。

  # pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• 将密钥发送给另一个系统并将新密钥添加到系统后，管理员降低了权限级别。

  # ikeadm set priv base

• 然后，管理员将新的 IPsec 策略读入内核。

  # ipsecconf -a /etc/inet/ipsecinit.conf

• 最后，管理员将新的 IKE 规则读入内核。

  # ikeadm read rules

如何检验 IKE 预先共享密钥是否完全相同

如果通信系统上的预先共享密钥不是完全相同的，则系统无法进行验证。

开始之前

在要测试的两个系统之间已配置并启用 IPsec。您运行的是当前 Solaris 10 发行版。

要在 Solaris 10 4/09 发行版之前的发行版中执行此过程，请参见示例 23–2。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 在每个系统上，检查 in.iked 守护进程的权限级别。

   # svcprop -p config/admin_privilege ike base

   • 如果权限级别为 keymat，请继续执行步骤 3。

   • 如果权限级别为 base 或 modkeys，请提高权限级别。

     然后，刷新并重新启动 ike 服务。

     # svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat

3. 在每个系统上，查看预先共享密钥的信息。

   # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).

4. 比较两个转储。

   如果预先共享的密钥不是完全相同的，则在 /etc/inet/secret/ike.preshared 文件中将一个密钥替换为另一个密钥。

5. 检验完成后，在每个系统中将权限级别恢复为缺省级别。

   # svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike

使用公钥证书配置 IKE（任务列表）

下表提供了为 IKE 创建公钥证书的过程的链接。这些过程包括如何在连接的硬件上加速和存储证书。