Go to main content
Oracle MiniCluster S7-2 安全指南

退出打印视图

更新时间: 2016 年 10 月
 
 

配置 IPsec 和 IKE

必须先定义在通信对等节点之间使用的具体主机名和/或 IP 地址,然后才能配置 IPsec。

对于此过程中的示例,IP 地址 10.1.1.1 和 10.1.1.2 用来指定由单个租户操作的两个 Solaris 非全局区域。这两个地址之间的通信将使用 IPsec 进行保护。此示例是从与 IP 地址 10.1.1.1 关联的非全局区域的角度讲述的。

使用以下步骤在一对指定的(虚拟机)非全局区域之间配置和使用 IPsec 和 IKE:

  1. 定义 IPsec 安全策略。

    定义在通信区域对之间将强制使用的安全策略。

    在此示例中,10.1.1.1 和 10.1.1.2 之间的所有网络通信都将加密:

    {laddr 10.1.1.1 raddr 10.1.1.2}
    ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
  2. 将策略存储在 /etc/inet/ipsecinit.conf 文件中。
  3. 验证 IPsec 策略在语法上是否正确。

    示例:

    # ipsecconf –c –f ipsecinit.conf
  4. 配置 Internet 密钥交换 (Internet Key Exchange, IKE) 服务。

    按照 /etc/inet/ike/config 文件中的主机和算法设置配置该服务。

    { label "ipsec"
    
    local_id_type ip
    
    remote_addr 10.1.1.2
    
    p1_xform { auth_method preshared oakley_group 5
    
    auth_alg sha256 encr_alg aes } }
    
  5. 配置预先共享的密钥。

    必须先与两个对等节点共享密钥资料以便它们可以相互验证,然后才能启用 IPsec。

    Oracle Solaris IKE 实现支持各种密钥类型,包括预先共享的密钥和证书。为简单起见,此示例使用 /etc/inet/secret/ike.preshared 文件中存储的预先共享的密钥。不过,希望使用更强验证形式的组织可以如下操作。

    编辑 /etc/inet/secret/ike.preshared 文件,并输入预先共享的密钥信息。例如:

    {
    localidtype IP
    localid 10.1.1.1
    remoteid type IP
    key "This is an ASCII phrAz, use strOng p@sswords"
    }
    
  6. 在两个对等节点上启用 IPsec 和 IKE 服务。

    必须先在两个通信对等节点上启用这些服务,然后才能进行加密通信。

    示例:

    # svcadm enable svc:/network/ipsec/policy:default
    # svcadm enable svc:/network/ipsec/ike:default