Ниже описана процедура настройки защиты IP для применения статических туннелей.
Для настройки статического туннеля не обязательно специально задавать правила фильтрации. Так как весь поток данных идет через туннель, необходимые правила фильтрации будут созданы автоматически. Процесс настройки туннеля состоит из определения туннеля на одном конце, импорта этого определения на другом конце и активации туннеля в обоих компьютерах. После этого туннель готов к работе.
Данные на обеих сторонах туннеля должна быть согласованы.
Например, если не указывать алгоритмы шифрования и идентификации для целевой системы, то будут применяться алгоритмы, заданные в исходной системе. При этом процесс создания туннеля сильно упрощается.
Туннель можно настроить с помощью Web-администратора системы, команд быстрого доступа SMIT ips4_basic (для IP версии 4) или ips6_basic (для IP версии 6), или с помощью следующей процедуры.
Ниже приведен пример создания туннеля с помощью команды gentun:
gentun -v 4 -t manual -s 5.5.5.19 -d 5.5.5.8 \ -a HMAC_MD5 -e DES_CBC_8 -N 23567
Вы можете просмотреть список характеристик статического туннеля из приведенного выше примера с помощью команды lstun -v 4. Вывод команды должен выглядет аналогично следующему:
ИД туннеля : 1 Версия IP : IP версии 4 Исходная система : 5.5.5.19 Целевая система : 5.5.5.8 Стратегия : auth/encr Режим : Туннель Алгоритм отправки AH : HMAC_MD5 Алгоритм отправки ESP: DES_CBC_8 Алгоритм приема AH : HMAC_MD5 Алгоритм приема ESP : DES_CBC_8 SPI исходного AH : 300 SPI исходного ESP : 300 SPI целевого AH : 23576 SPI целевого ESP : 23576 Время жизни туннеля : 480 Состояние : Неактивен Целевая система : - Целевая маска : - Повтор : Нет Новый заголовок : Да Алг. отпр. ENC-MAC : - Алг. приема ENC-MAC : -
Туннель создается после ввода следующей команды:
mktun -v 4 -t1
Правила фильтрации, связанные с туннелем, будут созданы автоматически, а сведения о них, получаемые с помощью команды lsfilt -v 4, будут выглядеть следующим образом:
Правило 4: Действие правила : разрешить Адрес источника : 5.5.5.19 Маска источника : 255.255.255.255 Адрес назначения : 5.5.5.8 Маска назначения : 255.255.255.255 Маршрутизация источн. : да Протокол : все Исходный порт : любой 0 Целевой порт : любой 0 Область : обе Направление : отправка Ведение протокола : нет Контроль фрагментации : все пакеты ИД туннеля : 1 Интерфейс : все Автогенерация : да Правило 5: Действие правила : разрешить Адрес источника : 5.5.5.8 Маска источника : 255.255.255.255 Адрес назначения : 5.5.5.19 Маска назначения : 255.255.255.255 Маршрутизация источн. : да Протокол : все Исходный порт : любой 0 Целевой порт : любой 0 Область : обе Направление : прием Ведение протокола : нет Контроль фрагментации : все пакеты ИД туннеля : 1 Интерфейс : все Автогенерация : да
Для активации правил фильтрации в дополнение к правилам фильтрации по умолчанию введите команду mktun -v 4 -t 1.
Для настройки туннеля во второй системе (если в ней установлен AIX) определение туннеля можно экспортировать на хосте A, а затем импортировать на хосте B.
exptun -v 4 -t 1 -f /tmp
определение туннеля будет экспортированы в файл ipsec_tun_manu.exp, а все связанные правила фильтрации в файл ipsec_fltr_rule.exp в каталоге, который задается флагом -f.
Для настройки второй конечной системы необходимо скопировать и импортировать эспортированные файлы в удаленну систему с помощью следующей команды:
imptun -v 4 -t 1 -f /tmp
Номер туннеля создается системой. Его можно определить с помощью выходных данных команды gentun или с помощью команды lstun, которая показывает список туннелей и позволяет определить правильный номер туннеля для импорта. Если в файле импорта хранится описание только одного туннеля или если требуется импортировать все туннели, то опция -t не нужна.
Если операционная система, установленная на удаленном компьютере, отлична от running this, то файл экспорта можно использовать в качестве справочника при установке алгоритма, ключей и индекса стратегии защиты (SPI) на втором конце туннеля.
Для создания туннелей можно импортировать файлы экспорта продукта IBM firewall. Это можно сделать при импорте файлов с помощью опции -n, как показано ниже:
imptun -v 4 -f /tmp -n