跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
ipsecinit.conf 和 ipsecconf 的安全注意事项
25. Oracle Solaris 中的 IP 过滤器(概述)
ifconfig 命令具有用来管理隧道接口上的 IPsec 策略的选项。snoop 命令可以解析 AH 头和 ESP 头。
在 Solaris 10、Solaris 10 7/05、Solaris 10 1/06 和 Solaris 10 11/06 发行版中: 为了支持 IPsec,ifconfig 命令提供以下安全选项。在 Solaris 10 7/07 发行版中,这些安全选项由 ipsecconf 命令处理。
必须在一次调用中为隧道指定所有 IPsec 安全选项。例如,如果只使用 ESP 保护通信,则一次使用两个安全选项配置隧道 ip.tun0,如下所示:
# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5
同样,ipsecinit.conf 项将使用两个安全选项一次性配置隧道,如下所示:
# WAN traffic uses ESP with AES and MD5. {} ipsec {encr_algs aes encr_auth_algs md5}
此选项使用指定的验证算法为隧道启用 IPsec AH。auth_algs 选项的格式如下所示:
auth_algs authentication-algorithm
对于算法,您可以通过指定一个数字或一个算法名称(包括参数 any)来表示没有特定的算法首选项。要禁用隧道安全性,请指定以下选项:
auth_algs none
要获得可用验证算法的列表,请运行 ipsecalgs 命令。
此选项使用指定的验证算法为隧道启用 IPsec ESP。encr_auth_algs 选项的格式如下所示:
encr_auth_algs authentication-algorithm
对于算法,您可以通过指定一个数字或一个算法名称(包括参数 any)来表示没有特定的算法首选项。如果指定一个 ESP 加密算法,但是未指定验证算法,则 ESP 验证算法的缺省值为参数 any。
要获得可用验证算法的列表,请运行 ipsecalgs 命令。
此选项使用指定的加密算法为隧道启用 IPsec ESP。encr_algs 选项的格式如下所示:
encr_algs encryption-algorithm
对于算法,您可以指定一个数字或一个算法名称。要禁用隧道安全性,请指定以下选项:
encr_algs none
如果指定一个 ESP 验证算法,但是未指定加密算法,则 ESP 加密算法的缺省值为参数 null。
要获得可用加密算法的列表,请运行 ipsecalgs 命令。
snoop 命令可以解析 AH 头和 ESP 头。由于 ESP 对自己的数据进行加密,因此,snoop 命令不能查看受 ESP 保护的加密头。AH 不会对数据进行加密。因此,可以使用 snoop 命令来检查受 AH 保护的通信。此命令的 -V 选项显示何时对包使用 AH。有关更多详细信息,请参见 snoop(1M) 手册页。
有关受保护包中的详细 snoop 输出样例,请参见如何检验包是否受 IPsec 保护。