IPsec のラベル拡張は、Trusted Extensions システム上で、セキュリティーアソシエーション (SA) の内側で伝送されるトラフィックにラベルを関連付けるために使用されます。デフォルトでは、IPsec ではラベル拡張が使用されないため、ラベルは無視されます。2 つのシステム間のトラフィックはすべて、Trusted Extensions のラベルにかかわらず、ある単一の SA 内を流れます。
ラベル拡張を使用すると次のことが行えます。
各 Trusted Extensions ラベルで使用するための IPsec SA を個別に構成する。この構成は事実上、2 つのマルチレベルシステム間を行き来するトラフィックのラベルを伝達するための追加メカニズムを提供します。
暗号化されていない形式のテキストとは異なる IPsec 暗号化メッセージのテキストのための、ワイヤー上のラベルを指定する。この構成は、安全性の低いネットワーク経由での暗号化された機密データの伝送をサポートします。
IP パケット内での CALIPSO または CIPSO IP オプションの使用を抑制する。この構成では、ラベル付きのトラフィックが、ラベルを認識しないネットワークやラベル非対応のネットワーク内を移動できます。
ラベル拡張を使用するかどうかの指定は、IKE 用のラベル拡張での説明に従って IKE 経由で自動的に行うことも、ipseckey コマンドを使用して手動で行うこともできます。ラベル拡張機能の詳細については、ipseckey(1M) のマニュアルページを参照してください。
ラベル拡張を使用する場合、アウトバウンドトラフィックの SA 選択には、内部機密ラベルがその一致の一部として含まれます。インバウンドトラフィックのセキュリティーラベルは、受信パケットの SA のセキュリティーラベルによって定義されます。