NAT-Durchquerung für Entwickler von IPsec-Schlüsselverwaltungsfunktionen
Die Version Solaris 10 5/09 enthält eine öffentliche API für User Datagram Protocol (UDP)-Sockets, die als Endpunkte für die IPsec-NAT-Durchquerung dienen.
Die Option UDP_NAT_T_ENDPOINT-Socket ermöglicht (sofern aktiviert) UDP-Datenverkehr mit einem aus vier Bytes bestehenden vorangestellten Null-Sicherheitsparameterindex (SPI) bei ausgehendem Datenverkehr und entfernt Null-SPIs bei eingehendem Datenverkehr. Eingehender Datenverkehr für solch einen Socket mit einem SPI, der ungleich Null ist, wird automatisch an Encapsulating Security Payload (ESP) von IPsec für die ESP-in-UDP-Entkapselung weitergeleitet. Die ESP-in-UDP-Verkapselung wird durch eine Eigenschaft in der IPsec-Sicherheitszuordnung festgelegt.
Diese Funktion ermöglicht den Entwicklern von IPsec-Schlüsselverwaltungssoftware, Schlüsselverwaltungsprotokolle zu erstellen, die Durchgangsverbindungen für NAT-Geräte herstellen können. Der IKE-Dämon von Solaris in iked(1M) verwendet diese Einrichtung, und solche Sockets werden mithilfe des Befehls pfiles(1M) angezeigt.
- © 2010, Oracle Corporation and/or its affiliates