이 절차에서는 두 Trusted Extensions VPN 게이트웨이 시스템 사이의 공용 네트워크에서 IPsec 터널을 구성합니다. 이 절차에서 사용된 예는 Oracle Solaris 11.2의 네트워크 보안 의 VPN을 보호하기 위한 IPsec 작업에 대한 네트워크 토폴로지 설명에 나온 구성을 기준으로 합니다.
이 구성에서 다음과 같은 수정 사항이 있습니다.
10 서브넷은 다중 레벨 신뢰할 수 있는 네트워크입니다. CALIPSO 또는 CIPSO IP 옵션 보안 레이블을 이러한 LAN에서 볼 수 있습니다.
192.168 서브넷은 PUBLIC 레이블에서 작동하는 단일 레이블 신뢰할 수 없는 네트워크입니다. 이러한 네트워크는 CALIPSO 또는 CIPSO IP 옵션을 지원하지 않습니다.
euro-vpn 및 calif-vpn 간의 레이블이 있는 트래픽은 무단 변경으로부터 보호됩니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
cipso 호스트 유형의 템플리트를 사용합니다. ADMIN_LOW ~ ADMIN_HIGH의 기본 레이블 범위를 유지합니다.
레이블이 없는 호스트 유형의 템플리트를 사용합니다. 기본 레이블을 PUBLIC으로 설정합니다. ADMIN_LOW ~ ADMIN_HIGH의 기본 레이블 범위를 유지합니다.
기본 레이블 범위를 유지합니다.
Oracle Solaris 11.2의 네트워크 보안 의 터널 모드에서 IPsec을 사용하여 두 LAN 사이의 연결을 보호하는 방법의 절차를 따릅니다. 다음 단계에 설명된 대로 키 관리를 위해 IKE를 사용합니다.
Oracle Solaris 11.2의 네트워크 보안 의 미리 공유한 키로 IKEv2를 구성하는 방법에 나온 절차를 따른 다음 ike/config 파일을 다음과 같이 수정합니다.
결과 파일은 다음과 유사하게 나타납니다. 레이블 추가는 강조 표시되어 있습니다.
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }