IPsec を構成する前に、通信ピア間で使用される特定のホスト名や IP アドレスが定義されている必要があります。
この手順の例では、10.1.1.1 および 10.1.1.2 の IP アドレスを使用して、1 つのテナントによって操作されている 2 つの Solaris 非大域ゾーンを指定しています。これらの 2 つのアドレス間の通信は IPsec を使用して保護されます。例は、IP アドレス 10.1.1.1 によって関連付けられた非大域ゾーンの観点からのものです。
次の手順を使用して、指定した (仮想マシン) 非大域ゾーンのペア間に IPsec と IKE を構成して使用します。
通信ゾーンのペア間に適用するセキュリティーポリシーを定義します。
この例では、10.1.1.1 と 10.1.1.2 間のすべてのネットワーク通信が暗号化されます。
{laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
例:
# ipsecconf –c –f ipsecinit.conf
/etc/inet/ike/config ファイルにホストとアルゴリズム設定に続いてサービスを構成します。
{ label "ipsec"
local_id_type ip
remote_addr 10.1.1.2
p1_xform { auth_method preshared oakley_group 5
auth_alg sha256 encr_alg aes } }
IPsec を有効にする前に、互いに認証できるように、両方のピアノードで鍵材料を共有する必要があります。
Oracle Solaris の IKE 実装は、事前共有鍵と証明書を含むさまざまな鍵のタイプをサポートしています。簡単にするため、この例では、etc/inet/secret/ike.preshared ファイルに格納されている事前共有鍵を使用します。ただし、強力な形式の認証を使用することを求めている組織では、そのようにします。
/etc/inet/secret/ike.preshared ファイルを編集して、事前共有された鍵情報を入力します。例:
{
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
暗号化通信を可能にする前に、両方の通信ピアでサービスが有効にされている必要があります。
例:
# svcadm enable svc:/network/ipsec/policy:default # svcadm enable svc:/network/ipsec/ike:default