IPsec를 구성하려면 먼저 통신 피어 사이에 사용되는 특정 호스트 이름 및/또는 IP 주소를 정의해야 합니다.
이 절차의 예에서 IP 주소 10.1.1.1 및 10.1.1.2는 단일 테넌트로 작동 중인 2개의 Solaris 비전역 영역을 지정하기 위해 사용됩니다. 이러한 두 주소 사이의 통신은 IPsec로 보호됩니다. 이 예는 IP 주소 10.1.1.1과 연관된 비전역 영역의 관점에서 가져온 예입니다.
지정된(가상 머신) 비전역 영역 쌍 사이에 IPsec 및 IKE를 구성하고 사용하려면 다음 단계를 따릅니다.
통신 영역 쌍 사이에 적용되는 보안 정책을 정의합니다.
이 예에서는 10.1.1.1과 10.1.1.2 사이의 모든 네트워크 통신이 암호화됩니다.
{laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
예:
# ipsecconf –c –f ipsecinit.conf
/etc/inet/ike/config 파일에서 호스트 및 알고리즘 설정에 따라 서비스를 구성합니다.
{ label "ipsec"
local_id_type ip
remote_addr 10.1.1.2
p1_xform { auth_method preshared oakley_group 5
auth_alg sha256 encr_alg aes } }
IPsec를 사용으로 설정하려면 서로 인증할 수 있도록 두 피어 노드에 키 자료가 공유되어야 합니다.
Oracle Solaris IKE 구현에는 미리 공유된 키 및 인증서를 포함한 여러 키 유형이 지원됩니다. 단순성을 위해 이 예에서는 /etc/inet/secret/ike.preshared 파일에 저장된 미리 공유된 키를 사용합니다. 하지만 더 엄격한 형식의 인증을 사용하길 원하는 조직의 경우 그렇게 할 수도 있습니다.
/etc/inet/secret/ike.preshared 파일을 편집하고 미리 공유된 키 정보를 입력합니다. 예를 들면 다음과 같습니다.
{
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
암호화된 통신을 가능하게 하려면 먼저 두 통신 피어 모두에서 서비스를 사용으로 설정해야 합니다.
예:
# svcadm enable svc:/network/ipsec/policy:default # svcadm enable svc:/network/ipsec/ike:default