此过程在两个 Trusted Extensions VPN 网关系统之间通过公共网络配置 IPsec 隧道。此过程中使用的示例基于在 Oracle Solaris 11.2 中确保网络安全 中的用于保护 VPN 的 IPsec 任务的网络拓扑说明中说明的配置。
假设对此说明进行以下修改:
10 子网是多级别可信网络。CALIPSO 或 CIPSO IP 选项安全标签在这些 LAN 上可见。
192.168 子网是在 PUBLIC 标签下运行的单标签不可信网络。这些网络不支持 CALIPSO 或 CIPSO IP 选项。
euro-vpn 和 calif-vpn 之间的有标签通信受到保护,以免受到未经授权的更改。
开始之前
您是全局区域中的 root 角色。
使用主机类型为 cipso 的模板。保留缺省标签范围(ADMIN_LOW 到 ADMIN_HIGH)。
使用无标签主机类型的模板。将缺省标签设置为 PUBLIC。保留缺省标签范围(ADMIN_LOW 到 ADMIN_HIGH)。
保留缺省标签范围。
按照在 Oracle Solaris 11.2 中确保网络安全 中的如何在隧道模式下使用 IPsec 保护两个 LAN 之间的连接中的过程进行操作。将 IKE 用于密钥管理,如以下步骤中所述。
按照在 Oracle Solaris 11.2 中确保网络安全 中的如何使用预先共享的密钥配置 IKEv2中的过程进行操作,然后修改 ike/config 文件,如下所示:
生成的文件将类似于以下内容。突出显示标签添加项。
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }