Systemverwaltungshandbuch: IP Services

Änderungen an IKE für das Release Solaris 10

Nach dem Release Solaris 9 wurde IKE um die folgenden Leistungsmerkmale erweitert:

IKE kann zur Automatisierung des Schlüsselaustauschs für IPsec über IPv6-Netzwerke verwendet werden. Weitere Informationen finden Sie unter Schlüsselmanagement mit IKE.

Hinweis –
IKE kann nicht zur Verwaltung von Schlüsseln für IPsec in einer nicht-globalen Zone verwendet werden.
PublicKey-Vorgänge in IKE können mithilfe eines Sun Crypto Accelerator 1000-Boards oder eines Sun Crypto Accelerator 4000-Boards beschleunigt werden. Die Berechnungen der Vorgänge können vom Board übernommen werden. Durch die Entlastung der CPU wird die Verschlüsselung beschleunigt und somit der Bedarf an Betriebssystemressourcen reduziert. Weitere Informationen finden Sie unter IKE und Hardwarebeschleunigung. Anweisungen finden Sie unter Konfiguration von IKE zum Suchen angehängter Hardware (Übersicht der Schritte).
PublicKey-Zertifikate, PrivateKeys und PublicKeys können auf einem Sun Crypto Accelerator 4000-Board gespeichert werden. Weitere Informationen zur Schlüsselspeicherung finden Sie unter IKE und Hardware-Speicherung.
IKE kann zur Automatisierung des Schlüsselaustauschs für IPsec hinter einer NAT-Box verwendet werden. Der Datenverkehr muss ein IPv4-Netzwerk nutzen. Außerdem können NAT-durchlaufende IPsec ESP-Schlüssel nicht Hardware-beschleunigt werden. Weitere Informationen finden Sie unter IPsec und NAT Traversal. Anweisungen finden Sie unter Konfiguration von IKE für mobile Systeme (Übersicht der Schritte).
Der Datei /etc/inet/ike/config wurden Parameter zur erneuten Übertragung und zur Paket-Zeitüberschreitung hinzugefügt. Diese Parameter optimieren die Aushandlung in der IKE Phase 1 (Hauptmodus) zur Verarbeitung von Netzwerkstörungen, starkem Netzwerkverkehr und zur Interoperation mit Plattformen, die andere Implementierungen des IKE-Protokolls verwenden. Einzelheiten zu den Parametern finden Sie in der Manpage ike.config(4) Anweisungen finden Sie unter Ändern der IKE-Übertragungsparameter (Übersicht der Schritte).