Las extensiones de etiquetas de IPsec se utilizan en los sistemas Trusted Extensions para asociar una etiqueta con el tráfico que se transmite dentro de una asociación de seguridad (SA). De manera predeterminada, IPsec no usa extensiones de etiquetas y, por lo tanto, ignora las etiquetas. Todo el tráfico entre dos sistemas se transporta a través de una asociación de seguridad única, independientemente de la etiqueta de Trusted Extensions.
Las extensiones de etiquetas permiten realizar las siguientes tareas:
Configurar una asociación de seguridad IPsec diferente para usar con cada etiqueta de Trusted Extensions. Esta configuración proporciona un mecanismo adicional para transmitir la etiqueta del tráfico entre dos sistemas de varios niveles.
Especificar una etiqueta en la transferencia para el texto del mensaje cifrado de IPsec que sea diferente del formato sin cifrar del texto. Esta configuración admite la transmisión de datos confidenciales cifrados a través de una red menos segura.
Suprima el uso de las opciones IP de CALIPSO o CIPSO en los paquetes IP. Esta configuración permite que el tráfico etiquetado atraviese las redes que reconocen las etiquetas o que son hostiles respecto de las etiquetas.
Puede especificar si desea usar extensiones de etiquetas automáticamente mediante IKE, como se describe en Extensiones de etiquetas para IKE, o manualmente por medio del comando ipseckey. Para obtener detalles sobre las funciones de las extensiones de etiquetas, consulte la página del comando man ipseckey(1M).
Al utilizar extensiones de etiquetas, la selección de la asociación de seguridad para el tráfico saliente incluye la etiqueta de sensibilidad interna como parte de la asociación. La etiqueta de seguridad del tráfico entrante está definida por la etiqueta de seguridad de la asociación de seguridad del paquete recibido.