Les extensions d'étiquettes IPsec sont utilisées sur les systèmes Trusted Extensions pour associer une étiquette au trafic qui transite au sein d'une association de sécurité (SA). Par défaut, IPsec n'utilise pas les extensions d'étiquettes et ignore donc les étiquettes. Quelle que soit l'étiquette Trusted Extensions, l'ensemble du trafic entre deux systèmes transite par une seule SA.
Les extensions d'étiquettes vous permettent d'effectuer les opérations suivantes :
Configurer une SA IPsec différente à utiliser avec chaque étiquette Trusted Extensions. Cette configuration offre un mécanisme supplémentaire de transmission de l'étiquette du trafic transitant entre deux systèmes multiniveau.
Spécifier une étiquette de transmission pour les textes de message chiffrés par IPsec qui diffèrent de la version non chiffrée des textes. Cette configuration prend en charge la transmission de données confidentielles chiffrées via un réseau moins sécurisé.
Annuler l'utilisation des options IP CALIPSO ou CIPSO dans des paquets IP. Cette configuration permet au trafic étiqueté de traverser les réseaux qui ne prennent pas en charge ou qui sont hostiles aux étiquettes.
Vous pouvez indiquer si vous souhaitez utiliser les extensions d'étiquettes par le biais d'IKE comme décrit dans la section Extensions d'étiquettes pour IKE, ou manuellement à l'aide de la commande ipseckey. Pour plus d'informations sur les fonctions d'extensions d'étiquettes, reportez-vous à la page de manuel ipseckey(1M).
Lorsque vous utilisez des extensions d'étiquettes, la sélection de SA pour le trafic sortant prend en compte l'étiquette de sensibilité interne. L'étiquette de sécurité du trafic entrant est défini par l'étiquette de sécurité de la SA du paquet reçu.