必須先定義通訊對等之間所使用的特定主機名稱和 (或) IP 位址,才能設定 IPsec。
此程序中的範例,使用 IP 位址 10.1.1.1 和 10.1.1.2,指定單一用戶所操作的兩個 Solaris 非全域區域。這兩個位址之間的通訊,將會使用 IPsec 進行保護。此範例是從與 IP 位址 10.1.1.1 相關聯的非全域區域來進行。
使用下列步驟,即可在指定的 (虛擬機器) 非全域區域配對之間,設定與使用 IPsec 和 IKE:
定義將在通訊區域配對之間強制執行的安全原則。
在此範例中,將會加密 10.1.1.1 與 10.1.1.2 之間的所有網路通訊:
{laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
範例:
# ipsecconf –c –f ipsecinit.conf
依照 /etc/inet/ike/config 檔案中的主機和演算法設定值設定服務。
{ label "ipsec"
local_id_type ip
remote_addr 10.1.1.2
p1_xform { auth_method preshared oakley_group 5
auth_alg sha256 encr_alg aes } }
必須先與兩個對等節點共用金鑰資料,讓它們彼此認證,才能啟用 IPsec。
Oracle Solaris IKE 實作支援各種金鑰類型,包括預先共用金鑰和憑證。為求簡化,此範例使用 /etc/inet/secret/ike.preshared 檔案中所儲存的預先共用金鑰。不過,尋求使用更安全認證形式的組織也應該這麼做。
編輯 /etc/inet/secret/ike.preshared 檔案,並輸入預先共用金鑰資訊。例如︰
{
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
必須先在兩個通訊對等上啟用服務,才能進行加密通訊。
範例:
# svcadm enable svc:/network/ipsec/policy:default # svcadm enable svc:/network/ipsec/ike:default