| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
IPsec und Sicherheitszuordnungen
Encapsulating Security Payload
Sicherheitsbetrachtungen beim Verwenden von AH und ESP
Authentifizierungs- und Verschlüsselungsalgorithmen in IPsec
Authentifizierungsalgorithmen in IPsec
Verschlüsselungsalgorithmen in IPsec
Transport- und Tunnelmodi in IPsec
Virtuelle private Netzwerke und IPsec
IPsec-Dienstprogramme und Dateien
Änderungen an IPsec für Solaris 10
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
IKE kann IPsec SAs über eine NAT-Box aushandeln. Mit dieser Fähigkeit sind Systeme in der Lage, von einem standortfernen Netzwerk aus auch dann eine sichere Verbindung herzustellen, wenn sich die Systeme hinter einem NAT-Gerät befinden. Beispiele können Mitarbeiter, die von zu Hause aus arbeiten, oder Personen, die sich von einer Konferenz-Site aus anmelden, ihren Datenverkehr mit IPsec schützen.
NAT bedeutet Network Address Translation (Netzwerk-Adresseübersetzung). Eine NAT-Box dient zum Übersetzen einer privaten internen Adresse in eine einmalige Internetadresse. NATs befinden sich häufig an öffentlichen Zugangspunkten zum Internet, z. B. in Hotels. Weitere Informationen finden Sie unter Verwenden der NAT-Funktion in IP Filter.
Die Fähigkeit, IKE verwenden zu können, wenn sich eine NAT-Box zwischen kommunizierenden Systemen befindet, wird NAT-Traversal oder NAT-T genannt. In Release Solaris 10 gelten für NAT-T die folgenden Einschränkungen:
NAT-T kann die Vorteile der IPsec ESP-Beschleunigung durch das Sun Crypto Accelerator 4000-Board nicht nutzen. Dennoch funktioniert die IKE-Beschleunigung mit dem Sun Crypto Accelerator 4000-Board.
Das AH-Protokoll beruht auf einem unveränderlichen IP-Header. Aus diesem Grund funktioniert AH nicht mit NAT-T. Mit NAT-T wird das ESP-Protokoll verwendet.
Die NAT-Box benötigt keine speziellen Verarbeitungsregeln. Eine NAT-Box mit speziellen IPsec-Verarbeitungsregeln zu Problemen mit der Implementierung von NAT-T führen.
NAT-T arbeitet nur dann, wenn der IKE-Initiator das System hinter der NAT-Box ist. Ein IKE-Antwortgeber kann sich nicht hinter einer NAT-Box befinden, es sei denn, die Box wurde zum Weiterleiten von IKE-Paketen zum entsprechenden individuellen System hinter der Box programmiert.
Die folgenden RFCs beschreiben die NAT-Funktionalität und die Einschränkungen von NAT-T. Diese RFCs können Sie von http://www.rfc-editor.org herunterladen.
RFC 3022, „Traditional IP Network Address Translator (Traditional NAT),“ Januar 2001
RFC 3715, „IPsec-Network Address Translation (NAT) Compatibility Requirements,“ März 2004
RFC 3947, „Negotiation of NAT-Traversal in the IKE,“ Januar 2005
RFC 3948, „UDP Encapsulation of IPsec Packets,“ Januar 2005
Informationen zum Verwenden von IPsec über ein NAT finden Sie unter Konfiguration von IKE für mobile Systeme (Übersicht der Schritte).
|