Este procedimiento configura un túnel IPsec en una red pública entre dos sistemas de puerta de enlace VPN de Trusted Extensions. El ejemplo que se utiliza en este procedimiento se basa en la configuración ilustrada en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec de Protección de la red en Oracle Solaris 11.2 .
Supongamos que se realizan las siguientes modificaciones en la ilustración:
Las 10 subredes son redes de confianza de varios niveles. Las etiquetas de seguridad de las opciones IP de CALIPSO o CIPSO se visualizan en estas LAN.
Las subredes 192.168 son redes no de confianza de una sola etiqueta que funcionan en la etiqueta PUBLIC. Estas redes no admiten las opciones IP de CALIPSO o CIPSO.
El tráfico con etiquetas entre euro-vpn y calif-vpn está protegido contra cambios no autorizados.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
Utilice una plantilla con un tipo de host cipso. Conserve el rango de etiquetas predeterminado, de ADMIN_LOW a ADMIN_HIGH.
Utilice una plantilla con un tipo de host sin etiquetas. Defina PUBLIC como la etiqueta predeterminada. Conserve el rango de etiquetas predeterminado, de ADMIN_LOW a ADMIN_HIGH.
Conserve el rango de etiquetas predeterminado.
Siga el procedimiento descripto en Cómo proteger la conexión entre dos LAN con IPsec en modo de túnel de Protección de la red en Oracle Solaris 11.2 . Utilice IKE para la gestión de claves, como se describe en el siguiente paso.
Siga el procedimiento descripto en Cómo configurar IKEv2 con claves compartidas previamente de Protección de la red en Oracle Solaris 11.2 y, luego, modifique el archivo ike/config de la siguiente manera:
El archivo resultante tiene el siguiente aspecto. Se resaltan las adiciones de etiquetas.
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }