必须先定义在通信对等节点之间使用的具体主机名和/或 IP 地址,然后才能配置 IPsec。
对于此过程中的示例,IP 地址 10.1.1.1 和 10.1.1.2 用来指定由单个租户操作的两个 Solaris 非全局区域。这两个地址之间的通信将使用 IPsec 进行保护。此示例是从与 IP 地址 10.1.1.1 关联的非全局区域的角度讲述的。
使用以下步骤在一对指定的(虚拟机)非全局区域之间配置和使用 IPsec 和 IKE:
定义在通信区域对之间将强制使用的安全策略。
在此示例中,10.1.1.1 和 10.1.1.2 之间的所有网络通信都将加密:
{laddr 10.1.1.1 raddr 10.1.1.2} ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
示例:
# ipsecconf –c –f ipsecinit.conf
按照 /etc/inet/ike/config 文件中的主机和算法设置配置该服务。
{ label "ipsec" local_id_type ip remote_addr 10.1.1.2 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } }
必须先与两个对等节点共享密钥资料以便它们可以相互验证,然后才能启用 IPsec。
Oracle Solaris IKE 实现支持各种密钥类型,包括预先共享的密钥和证书。为简单起见,此示例使用 /etc/inet/secret/ike.preshared 文件中存储的预先共享的密钥。不过,希望使用更强验证形式的组织可以如下操作。
编辑 /etc/inet/secret/ike.preshared 文件,并输入预先共享的密钥信息。例如:
{ localidtype IP localid 10.1.1.1 remoteid type IP key "This is an ASCII phrAz, use strOng p@sswords" }
必须先在两个通信对等节点上启用这些服务,然后才能进行加密通信。
示例:
# svcadm enable svc:/network/ipsec/policy:default # svcadm enable svc:/network/ipsec/ike:default