Cómo agregar un nuevo par cuando se utilizan claves compartidas previamente en IKEv2

Si agrega entradas de política IPsec a una configuración operativa entre los mismos pares equivalentes, debe refrescar el servicio de política IPsec. No necesita privilegios para reconfigurar o reiniciar IKE.

Si agrega un nuevo par a la política de IPsec, además de los cambios de IPsec, debe modificar la configuración de IKEv2.

Antes de empezar

Actualizó el archivo ipsecinit.conf y refrescó la política IPsec para los sistemas equivalentes.

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

1. Cree una regla para que IKEv2 gestione las claves para el nuevo sistema que utiliza IPsec.
   1. Por ejemplo, en el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/ikev2.config:

      # pfedit ikev2.config
      ## ikev2.config file on enigma, 192.168.116.16
      ...
      ## The rule to communicate with ada
      ##  Label must be unique
      {label "enigma-ada"
       auth_method preshared
       local_addr  192.168.116.16
       remote_addr 192.168.15.7
      }

      Para obtener información sobre las opciones del comando pfedit, consulte la página del comando man pfedit(1M).

   2. En el sistema ada, agregue la siguiente regla:

      ## ikev2.config file on ada, 192.168.15.7
      ...
      ## The rule to communicate with enigma
      {label "ada-enigma"
       auth_method preshared
       local_addr  192.168.15.7
       remote_addr 192.168.116.16
      }

2. (Opcional) En cada sistema, compruebe la sintaxis del archivo.

   # /usr/lib/inet/in.ikev2d -c -f /etc/inet/ike/ikev2.config

3. Cree una clave IKEv2 compartida previamente para los sistemas pares.
   1. En el sistema enigma, agregue la siguiente información al archivo /etc/inet/ike/ikev2.preshared:

      # pfedit -s /etc/inet/ike/ikev2.preshared
      ## ikev2.preshared on enigma for the ada interface
      ...
      ## The rule to communicate with ada 
      ##  Label must match the label of the rule
      { label "enigma-ada"
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

      Para obtener información sobre las opciones del comando pfedit, consulte la página del comando man pfedit(1M).

   2. En el sistema ada, agregue la información siguiente al archivo ikev2.preshared:

      # ikev2.preshared on ada for the enigma interface
      # 
      { label "ada-enigma"
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

4. En cada sistema, lea los cambios del núcleo.
   • Si el servicio está activado, actualícelo.

     # svcadm refresh ikev2

   • Si el servicio no está activado, actívelo.

     # svcadm enable ikev2

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.