この手順では、公開ネットワーク上で 2 つの Trusted Extensions VPN ゲートウェイシステムの間で IPsec トンネルを構成します。この手順で使用する例は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec で VPN を保護するタスクのためのネットワークトポロジの説明の図に示された構成に基づいています。
この図に次の変更を行ったものと仮定します。
10 サブネットは、マルチレベルトラステッドネットワークです。CALIPSO または CIPSO IP オプションのセキュリティーラベルは、これらの LAN 上で可視となります。
192.168 サブネットは、PUBLIC ラベルで動作するシングルラベルの信頼できないネットワークです。これらのネットワークは CALIPSO または CIPSO IP オプションをサポートしません。
euro-vpn と calif-vpn との間のラベル付きトラフィックは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
cipso ホストタイプのテンプレートを使用します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
ラベルなしホストタイプのテンプレートを使用します。デフォルトラベルを PUBLIC に設定します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
デフォルトのラベル範囲を維持します。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec のトンネルモードで 2 つの LAN 間の接続を保護する方法の手順に従います。鍵管理については、次の手順で説明するように IKE を使用します。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 事前共有鍵で IKEv2 を構成する方法 の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on euro-vpn, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with calif-vpn
# Label must be unique
{ label "eurovpn-califvpn"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
### ike/config file on calif-vpn, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with euro-vpn
# Label must be unique
{ label "califvpn-eurovpn"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}