Cómo actualizar IKEv1 para un sistema par nuevo

Si agrega entradas de política IPsec a una configuración operativa entre los mismos pares equivalentes, debe refrescar el servicio de política IPsec. No necesita privilegios para reconfigurar o reiniciar IKEv1.

Si agrega un nuevo par a la política de IPsec, además de los cambios de IPsec, debe modificar la configuración de IKEv1.

Antes de empezar

Actualizó el archivo ipsecinit.conf y refrescó la política IPsec para los sistemas equivalentes.

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

1. Cree una regla para que IKEv1 gestione las claves para el nuevo sistema que utiliza IPsec.
   1. Por ejemplo, en el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/config:

      ### ike/config file on enigma, 192.168.116.16
       
      ## The rule to communicate with ada
      
      {label "enigma-to-ada"
       local_addr 192.168.116.16
       remote_addr 192.168.15.7
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      	}

   2. En el sistema ada, agregue la siguiente regla:

      ### ike/config file on ada, 192.168.15.7
       
      ## The rule to communicate with enigma
      
      {label "ada-to-enigma"
       local_addr 192.168.15.7
       remote_addr 192.168.116.16
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      }

2. Cree una clave IKEv1 compartida previamente para los sistemas pares.
   1. En el sistema enigma, agregue la siguiente información al archivo /etc/inet/secret/ike.preshared:

      ## ike.preshared on enigma for the ada interface
      ##
      { localidtype IP
        localid 192.168.116.16
        remoteidtype IP
        remoteid 192.168.15.7
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

   2. En el sistema ada, agregue la información siguiente al archivo ike.preshared:

      ## ike.preshared on ada for the enigma interface
      ##
      { localidtype IP
        localid 192.168.15.7
        remoteidtype IP
        remoteid 192.168.116.16
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

3. En cada sistema, actualice el servicio ike.

   # svcadm refresh ike:default

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.