此过程在两个 Trusted Extensions VPN 网关系统之间通过公共网络配置 IPsec 隧道。此过程中使用的示例基于在 Oracle Solaris 11.2 中确保网络安全 中的用于保护 VPN 的 IPsec 任务的网络拓扑说明中说明的配置。
假设对此说明进行以下修改:
10 子网是多级别可信网络。CALIPSO 或 CIPSO IP 选项安全标签在这些 LAN 上可见。
192.168 子网是在 PUBLIC 标签下运行的单标签不可信网络。这些网络不支持 CALIPSO 或 CIPSO IP 选项。
euro-vpn 和 calif-vpn 之间的有标签通信受到保护,以免受到未经授权的更改。
开始之前
您是全局区域中的 root 角色。
使用主机类型为 cipso 的模板。保留缺省标签范围(ADMIN_LOW 到 ADMIN_HIGH)。
使用无标签主机类型的模板。将缺省标签设置为 PUBLIC。保留缺省标签范围(ADMIN_LOW 到 ADMIN_HIGH)。
保留缺省标签范围。
按照在 Oracle Solaris 11.2 中确保网络安全 中的如何在隧道模式下使用 IPsec 保护两个 LAN 之间的连接中的过程进行操作。将 IKE 用于密钥管理,如以下步骤中所述。
按照在 Oracle Solaris 11.2 中确保网络安全 中的如何使用预先共享的密钥配置 IKEv2中的过程进行操作,然后修改 ike/config 文件,如下所示:
生成的文件将类似于以下内容。突出显示标签添加项。
### ike/config file on euro-vpn, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with calif-vpn
# Label must be unique
{ label "eurovpn-califvpn"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
### ike/config file on calif-vpn, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with euro-vpn
# Label must be unique
{ label "califvpn-eurovpn"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}