在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

为移动系统配置 IKEv1

IPsec 和 IKE 要求用唯一 ID 标识源和目标。对于没有唯一 IP 地址的站点外系统或移动系统,必须使用其他 ID 类型。可以使用诸如 DNSDNemail 之类的 ID 类型唯一地标识系统。

对于具有唯一 IP 地址的站点外系统或移动系统,最好也应使用其他 ID 类型进行配置。例如,如果系统尝试从 NAT 盒 (NAT box) 之后连接到中心站点,则不会使用它们的唯一地址。NAT 盒 (NAT box) 指定一个中心系统无法识别的任意 IP 地址。

预先共享的密钥也不太适合用作移动系统的验证机制,因为预先共享的密钥需要固定的 IP 地址。通过使用自签名证书或来自 CA 的证书,移动系统可以与中心站点通信。

以下任务列表列出了配置 IKEv1 以处理远程登录到中心站点的系统的过程。

表 10-2  为移动系统配置 IKEv1 任务列表
任务
说明
参考
从站点外与中心站点进行通信。
允许站点外系统与中心站点进行通信。站点外系统可能是移动系统。
在接受来自移动系统的通信的中心系统上使用 CA 的公共证书和 IKEv1。
将网关系统配置为接受来自没有固定 IP 地址的系统的 IPsec 流量。
在没有固定 IP 地址的系统上使用 CA 的公共证书和 IKEv1。
将移动系统配置为保护它传输到中心站点(如公司总部)的流量。
在接受来自移动系统的通信的中心系统上使用自签名证书和 IKEv1。
使用自签名证书配置网关系统,以接受来自移动系统的 IPsec 流量。
在没有固定 IP 地址的系统上使用自签名证书和 IKEv1。
使用自签名证书配置移动系统,以保护它传输到中心站点的流量。