跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 10 1/13 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
如何为 ipsecinit.conf 中的新策略项添加 IKE 预先共享密钥
如何将 IKE 配置为查找 Sun Crypto Accelerator 1000 板
如何将 IKE 配置为查找 Sun Crypto Accelerator 4000 板
如何将 IKE 配置为查找 Sun Crypto Accelerator 6000 板
25. Oracle Solaris 中的 IP 过滤器(概述)
当 IKE 协商密钥时,传输速度可能会影响协商的成功。通常,无需更改 IKE 传输参数的缺省值。但是,在通过很脏的线路优化密钥协商时,或者再现问题时,您可能希望更改传输值。
在持续时间较长的情况下,IKE 可以通过不可靠的传输线路协商密钥。可以增大某些参数以使初始尝试成功。如果初始尝试未成功,则可以隔开后续尝试以便为成功提供更多时间。
通过缩短持续时间,可以利用可靠的传输线路。这样,可以更快捷地重试已失败的协商,以便加快协商速度。在诊断问题时,您可能还希望加快协商,以便尽早获得失败的结果。缩短持续时间也使阶段 1 SA 可用于其生命周期。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。有关如何创建该角色并将其指定给用户,请参见《Oracle Solaris 管理:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
注 - 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
在每个系统上,修改 /etc/inet/ike/config 文件中的阶段 1 持续时间参数。
### ike/config file on system ## Global parameters # ## Phase 1 transform defaults # #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float)
允许尚未完成的 IKE 阶段 1 协商在删除协商尝试之前延迟的秒数。缺省情况下,尝试延迟 30 秒。
异常中止任何 IKE 协商之前的重新传输次数。缺省情况下,IKE 尝试五次。
重新传输之间的初始时间间隔。在达到 retry_timer_max 值之前,此时间间隔以双倍递增。初始时间间隔为 0.5 秒。
重新传输之间的最大时间间隔(以秒为单位)。重新传输时间间隔在达到此限制时停止增加。缺省情况下,该限制为 30 秒。
示例 23-13 延长 IKE 阶段 1 协商时间
在以下示例中,系统已通过高流量传输线路连接到其 IKE 对等方。原始设置位于文件的注释中。新设置延长了协商时间。
### ike/config file on partym ## Global Parameters # ## Phase 1 transform defaults #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float) # expire_timer 600 retry_limit 10 retry_timer_init 2.5 retry_timer_max 180
示例 23-14 缩短 IKE 阶段 1 协商时间
在以下示例中,系统已通过小流量的高速线路连接到其 IKE 对等方。原始设置位于文件的注释中。新设置缩短了协商时间。
### ike/config file on partym ## Global Parameters # ## Phase 1 transform defaults #expire_timer 300 #retry_limit 5 #retry_timer_init 0.5 (integer or float) #retry_timer_max 30 (integer or float) # expire_timer 120 retry_timer_init 0.20