同じピア間で動作中の構成に対して IPsec ポリシーエントリを追加した場合、IPsec ポリシーサービスをリフレッシュする必要があります。IKE の再構成または再起動は不要です。
IPsec ポリシーに新しいピアを追加した場合、IPsec の変更に加えて IKEv2 構成を変更する必要があります。
始める前に
ipsecinit.conf ファイルをリフレッシュし、ピアシステムの IPsec ポリシーをリフレッシュしました。
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。
# pfedit ikev2.config
## ikev2.config file on enigma, 192.168.116.16
...
## The rule to communicate with ada
## Label must be unique
{label "enigma-ada"
auth_method preshared
local_addr 192.168.116.16
remote_addr 192.168.15.7
}
pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。
## ikev2.config file on ada, 192.168.15.7
...
## The rule to communicate with enigma
{label "ada-enigma"
auth_method preshared
local_addr 192.168.15.7
remote_addr 192.168.116.16
}
# /usr/lib/inet/in.ikev2d -c -f /etc/inet/ike/ikev2.config
# pfedit -s /etc/inet/ike/ikev2.preshared
## ikev2.preshared on enigma for the ada interface
...
## The rule to communicate with ada
## Label must match the label of the rule
{ label "enigma-ada"
# enigma and ada's shared key
key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
}
pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。
# ikev2.preshared on ada for the enigma interface
#
{ label "ada-enigma"
# ada and enigma's shared key
key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
}
# svcadm refresh ikev2
# svcadm enable ikev2
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。