この手順では、公開ネットワーク上で 2 つの Trusted Extensions VPN ゲートウェイシステムの間で IPsec トンネルを構成します。この手順で使用する例は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec で VPN を保護するタスクのためのネットワークトポロジの説明の図に示された構成に基づいています。
この図に次の変更を行ったものと仮定します。
10 サブネットは、マルチレベルトラステッドネットワークです。CALIPSO または CIPSO IP オプションのセキュリティーラベルは、これらの LAN 上で可視となります。
192.168 サブネットは、PUBLIC ラベルで動作するシングルラベルの信頼できないネットワークです。これらのネットワークは CALIPSO または CIPSO IP オプションをサポートしません。
euro-vpn と calif-vpn との間のラベル付きトラフィックは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
cipso ホストタイプのテンプレートを使用します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
ラベルなしホストタイプのテンプレートを使用します。デフォルトラベルを PUBLIC に設定します。デフォルトのラベル範囲、ADMIN_LOW から ADMIN_HIGH を維持します。
デフォルトのラベル範囲を維持します。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec のトンネルモードで 2 つの LAN 間の接続を保護する方法の手順に従います。鍵管理については、次の手順で説明するように IKE を使用します。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 事前共有鍵で IKEv2 を構成する方法 の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }