在 Trusted Extensions 系统上使用 IPsec 标签扩展,以将标签与在安全关联 (security association, SA) 内传输的通信相关联。缺省情况下,IPsec 不使用标签扩展,因此将忽略标签。无论 Trusted Extensions 标签为何,两个系统之间的所有通信都将流经单个 SA。
使用标签扩展,您可以执行以下操作:
配置可用于每个 Trusted Extensions 标签的不同 IPsec SA。此配置有效地提供其他机制,用于传递在两个多级别系统之间进行的通信的标签。
为不同于未加密形式文本的 IPsec 加密消息文本指定线标签 (on-the-wire label)。此配置支持通过安全性较低的网络传输加密的机密数据。
在 IP 包中不使用 CALIPSO 或 CIPSO IP 选项。通过此配置,有标签通信可以遍历标签无感知网络或标签不友好网络。
可以指定是自动通过 IKE(如IKE 的标签扩展中所述)还是手动通过 ipseckey 命令来使用标签扩展。有关标签扩展功能的详细信息,请参见 ipseckey(1M) 手册页。
使用标签扩展时,传出通信的 SA 选择将内部敏感标签包括为匹配项的一部分。传入通信的安全标签由已接收包的 SA 的安全标签定义。