JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: IP Services
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Einführung in die Systemverwaltung: IP Services

1.  Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)

Teil II Administration von TCP/IP

2.  Planen Ihres TCP/IP-Netzwerks (Vorgehen)

3.  Einführung in IPv6 (Überblick)

4.  Planen eines IPv6-Netzwerks (Aufgaben)

5.  Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)

6.  Verwalten von Netzwerkschnittstellen (Aufgaben)

7.  Konfigurieren eines IPv6-Netzwerks (Vorgehen)

8.  Verwaltung eines TCP/IP-Netzwerks (Aufgaben)

9.  Fehlersuche bei Netzwerkproblemen (Aufgaben)

10.  TCP/IP und IPv4 im Detail (Referenz)

11.  IPv6 im Detail (Referenz)

Teil III DHCP

12.  Einführung in DHCP (Übersicht)

13.  Planungen für den DHCP-Service (Aufgaben)

14.  Konfiguration des DHCP-Services (Aufgaben)

15.  Verwalten von DHCP (Aufgaben)

16.  Konfiguration und Verwaltung des DHCP-Clients

17.  DHCP-Fehlerbehebung (Referenz)

18.  DHCP - Befehle und Dateien (Referenz)

Teil IV IP-Sicherheit

19.  IP Security Architecture (Übersicht)

20.  Konfiguration von IPsec (Aufgaben)

21.  IP Security Architecture (Referenz)

22.  Internet Key Exchange (Übersicht)

23.  Konfiguration von IKE (Aufgaben)

Konfiguration von IKE (Übersicht der Schritte)

Konfiguration von IKE mit PresharedKeys (Übersicht der Schritte)

Konfiguration von IKE mit PresharedKeys

So konfigurieren Sie IKE mit PresharedKeys

So werden IKE PresharedKeys aktualisiert

So rufen Sie IKE PresharedKeys auf

So fügen Sie einen IKE PresharedKey für einen neuen Richtlinieneintrag in ipsecinit.conf ein

So prüfen Sie, ob die IKE PresharedKeys identisch sind

Konfiguration von IKE mit PublicKey-Zertifikaten (Übersicht der Schritte)

Konfiguration von IKE mit PublicKey-Zertifikaten

So konfigurieren Sie IKE mit selbst-signierten PublicKey-Zertifikaten

So konfigurieren Sie IKE mit Zertifikaten, die von einer CA signiert wurden

So erzeugen Sie PublicKey-Zertifikate und speichern sie auf angehängter Hardware

So verarbeiten Sie eine Zertifikat-Rücknahmeliste

Konfiguration von IKE für mobile Systeme (Übersicht der Schritte)

Konfiguration von IKE für mobile Systeme

So konfigurieren Sie IKE für Offsite-Systeme

Konfiguration von IKE zum Suchen angehängter Hardware (Übersicht der Schritte)

Konfiguration von IKE zum Suchen angehängter Hardware

So konfigurieren Sie IKE zur Suche nach dem Sun Crypto Accelerator 1000-Board

So konfigurieren Sie IKE zur Suche nach dem Sun Crypto Accelerator 4000-Board

Ändern der IKE-Übertragungsparameter (Übersicht der Schritte)

Ändern der IKE-Übertragungsparameter

So ändern Sie die Dauer der Phase 1 IKE-Schlüsselaushandlung

24.  Internet Key Exchange (Referenz)

25.  IP Filter in Oracle Solaris (Übersicht)

26.  IP Filter (Aufgaben)

Teil V Mobile IP

27.  Mobile IP (Übersicht)

28.  Verwalten von Mobile IP (Aufgaben)

29.  Mobile IP-Dateien und Befehle (Referenz)

Teil VI IPMP

30.  Einführung in IPMP (Übersicht)

31.  Verwaltung von IPMP (Aufgaben)

Teil VII IP Quality of Service (IPQoS)

32.  Einführung in IPQoS (Übersicht)

33.  Planen eines IPQoS-konformen Netzwerks (Aufgaben)

34.  Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)

35.  Starten und Verwalten des IPQoS (Aufgaben)

36.  Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)

37.  IPQoS im Detail (Referenz)

Glossar

Index

Ändern der IKE-Übertragungsparameter

Wenn IKE Schlüssel aushandelt, wirkt sich die Übertragungsgeschwindigkeit auf den Erfolg der Aushandlung aus. Normalerweise müssen Sie die Standardwerte für die IKE-Übertragungsparameter nicht ändern. Eventuell müssen die Übertragungswerte jedoch geändert werden, um die Schlüsselaushandlung bei extrem frequentierten Leitungen zu optimieren oder um ein Problem zu reproduzieren.

Bei einer längeren Aushandlung kann IKE die Schlüssel aus über unzuverlässige Übertragungsleitungen aushandeln. Sie verlängern bestimmte Parameter, sodass schon die ersten Versuche erfolgreich sind. Wenn der erste Versuch nicht erfolgreich ist, können Sie nachfolgenden Versuchen mehr Zeit gewähren, damit sie erfolgreich abgeschlossen werden.

Bei einer kürzeren Dauer können Sie von den Vorteilen zuverlässiger Übertragungsleitungen profitieren. Sie können schneller einen Wiederholversuch bei fehlgeschlagenen Aushandlungen einleiten, um so die Aushandlung insgesamt zu beschleunigen. Bei der Suche nach der Ursache eines Problems können Sie auch die Aushandlung beschleunigen, um schnell einen Fehler zu erzeugen. Eine kürzere Aushandlung bedeutet auch, dass die Phase 1 SAs über deren gesamte Lebendauer genutzt werden können.

So ändern Sie die Dauer der Phase 1 IKE-Schlüsselaushandlung

  1. Nehmen Sie über die Systemkonsole die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

    Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

    Hinweis - Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.

  2. Ändern Sie die Standardwerte der globalen Übertragungsparameter auf jedem System.

    Ändern Sie die Phase 1 Parameter für die Aushandlungsdauer in der Datei /etc/inet/ike/config auf jedem System.

    ### ike/config file on system

## Global parameters
#
## Phase 1 transform defaults
#
#expire_timer      300
#retry_limit         5
#retry_timer_init    0.5 (integer or float)
#retry_timer_max    30   (integer or float)
    expire_timer

    Die Zeit in Sekunden, die eine noch nicht abgeschlossene IKE Phase I-Aushandlung weiter ausgeführt werden darf, bis der Aushandlungsversuch gelöscht wird. Standardmäßig werden die Versuche über 30 Sekunden ausgeführt.

    retry_limit

    Die Anzahl an wiederholten Übertragungen, bevor die IKE-Aushandlung abgebrochen wird. Standardmäßig versucht IKE fünf Übertragungen.

    retry_timer_init

    Das Erstintervall zwischen den Übertragungsversuchen. Dieses Intervall wird verdoppelt, bis der Wert von retry_timer_max erreicht ist. Das Erstintervall beträgt 0,5 Sekunden.

    retry_timer_max

    Das maximale Intervall zwischen den Übertragungsversuchen. Das Intervall für die Übertragungsversuche wächst bis zu diesem Wert an. Standardmäßig beträgt der Grenzwert 30 Sekunden.

  3. Lesen Sie die geänderte Konfiguration in den Systemkern ein.
    • Wenn Sie mindestens mit Solaris 10 4/09 arbeiten, aktualisieren Sie den ike-Service.
      # svcadm refresh svc:/network/ipsec/ike
    • Wenn Sie eine ältere Version als Solaris 10 4/09 verwenden, starten Sie das System neu.
      # init 6

      Alternativ stoppen und starten Sie den in.iked-Daemon.

Beispiel 23-13 Verlängern der IKE Phase 1-Aushandlungszeiten

Im folgenden Beispiel ist ein System über eine stark frequentierte Übertragungsleitung mit seinem Peer verbunden. Die ursprünglichen Einstellungen in der Datei sind mit Kommentarzeichen versehen. Die neuen Einstellungen verlängern die Aushandlungszeit.

### ike/config file on partym
## Global Parameters
#
## Phase 1 transform defaults
#expire_timer   300
#retry_limit      5
#retry_timer_init 0.5 (integer or float)
#retry_timer_max 30   (integer or float)
#
expire_timer 600
retry_limit 10
retry_timer_init 2.5
retry_timer_max 180

Beispiel 23-14 Verkürzen der IKE Phase 1-Aushandlungszeiten

Im folgenden Beispiel ist ein System über eine Hochgeschwindigkeitsleitung mit wenig Verkehr mit seinem Peer verbunden. Die ursprünglichen Einstellungen in der Datei sind mit Kommentarzeichen versehen. Die neuen Einstellungen verkürzen die Aushandlungszeit.

### ike/config file on partym
## Global Parameters
#
## Phase 1 transform defaults
#expire_timer   300
#retry_limit      5
#retry_timer_init 0.5 (integer or float)
#retry_timer_max 30   (integer or float)
#
expire_timer 120
retry_timer_init 0.20
Copyright © 1999, 2010, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor