如何在AIX上简化和集中化IPSec管理

概述

Internet Protocol Security 是一个协议套件,提供各种信息安全特性。个人用户或组织可使用 IPSec 特性来保护所有应用程序的流量,无需对应用程序本身进行任何修改。IPSec 使用身份验证、完整性检查和加密来保护数据流量。数据安全性是在通信栈的 IP 层提供的,所以不需要对应用程序进行任何修改。不过,必须对每台机器单独配置,以使其能够使用 IPSec。

在本文中,了解 AIX IPSec 管理特性,它可以简化对大型网络应用和管理 IPSec 配置的方式。该特性使用轻量级目录访问协议 (Lightweight Directory Access Protocol, LDAP) 作为一个中央存储库来维护和分发 IPSec 配置,从而提供配置的集中式管理。从 AIX  V61V/71H 起支持此特性。

对 IPSEC 简化的需要

目前,对于使用 IPSec 隧道的系统,必须使用 XML 配置文件或命令行对它们进行单独配置。在配置某些系统时,工作量可能不会非常大,但在拥有许多系统的大型企业中,配置就会成为一项艰巨的任务。要在两个系统之间建立 IPSec 隧道,需要配置超过 20 个配置参数,并且只有少数参数与机器相关。

由于有大量的配置参数,所以 IPSec 配置既容易出错又耗时。为了减少错误配置的工作量和风险,AIX IPSec 中增加了一个新的特性,它为企业简化了整个流程。该特性提供:

能够将多组 IPSec 配置策略存储在 LDAP 服务器上,实现集中管理。

能够定义 IPSec 配置策略,并将其与一组主机关联。与某个 IPSec 配置策略相关联的所有机器将使用由一个 XML 文件定义的同一组 IPSec 配置(规则)。一台机器在同一时间只可以与一个策略关联。

每 60 分钟将刷新一次设置。如果隧道配置发生了变化,那么将会销毁旧的隧道,并且将创建新的隧道。

仅支持第一阶段隧道的基于证书的身份验证。

新的 AIX 特性为每对 IP 地址创建隧道,这是 IPSec 配置策略的一部分。

配置 AIX IPSec

AIX 用于创建 IPSec 隧道的配置文件是 XML 格式。为了在两个系统之间创建一条隧道,必须配置超过 20 个配置参数。可配置的参数被放进 XML 文件中。然而,XML 文件中不包含 IP 地址;从与策略关联的机器获取 IP 地址。AIX IPSec 提供了一个命令,可将 XML 配置文件加载到 LDAP 服务器中。

清单 1 显示了存储在 LDAP 服务器上的一个样例 XML 配置文件。

清单 1. 样例 XML 配置文件

$cat ipsec_ldap.xml
<?xml version="1.0"?>
<AIX_VPN
      Version="2.0">
   <IKEProtection
         IKE_Role="Both"
         IKE_Version="2"
         IKE_XCHGMode="Main"
         IKE_KeyOverlap="10"
         IKE_Flags_UseCRL="No"
         IKE_ProtectionName="P1Pol"
         IKE_ResponderKeyRefreshMaxKB="200"
         IKE_ResponderKeyRefreshMinKB="1"
         IKE_ResponderKeyRefreshMaxMinutes="1440"
         IKE_ResponderKeyRefreshMinMinutes="1">
      <IKETransform
            IKE_Encryption="3DES-CBC"
            IKE_Hash="SHA"
            IKE_DHGroup="2"
            IKE_PRF="PRF_HMAC_SHA1"
            IKE_AuthenticationMethod="RSA_signatures" />
   </IKEProtection>
   <IPSecProposal
         IPSec_ProposalName="P2Prop">
      <IPSecESPProtocol
            ESP_Encryption="ESP_3DES"
            ESP_KeyRefreshKB="0"
            ESP_Authentication="HMAC-SHA"
            ESP_ExtendedSeqNum="0"
            ESP_EncapsulationMode="Tunnel"
            ESP_KeyRefreshMinutes="480" />
   </IPSecProposal>
   <IPSecProtection
         IPSec_Role="Both"
         IPSec_KeyOverlap="10"
         IPSec_ProposalRefs="P2Prop "
         IPSec_ProtectionName="P2Pol"
         IPSec_InitiatorDHGroup="1"
         IPSec_ResponderDHGroup="NO_PFS GROUP_1 GROUP_2"
         IPSec_Flags_UseLifeSize="No"
         IPSec_Flags_UseCommitBit="No"
         IPSec_ResponderKeyRefreshMaxKB="200"
         IPSec_ResponderKeyRefreshMinKB="1"
         IPSec_ResponderKeyRefreshMaxMinutes="43200"
         IPSec_ResponderKeyRefreshMinMinutes="1" />
</AIX_VPN>

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索文件
, aix
, 配置管理
, 配置
, 特性
, 一个
, ipsec
, 策略
配置与管理
aix ipsec、aix ipsec4、分布力简化为集中力、ipsec管理、简化管理,以便于您获取更多的相关知识。

时间: 2024-09-09 16:07:13

如何在AIX上简化和集中化IPSec管理的相关文章

WAS 8.5在AIX上无法启动图形化概要管理工具WCT或PMT之解

WAS 8.5在AIX上无法启动图形化概要管理工具WCT或PMT之解 问题描述:WAS 8.5在AIX上因缺少相应的组件包,而无法启动图形化概要管理工具WCT或PMT错误信息:在执行 $WAS_HOME/bin/ProfileManagement/ 目录下的 wct.sh 或 pmt.sh 时,报如下错误:java.lang.UnsatisfiedLinkError: Could not load SWT library. Reasons:         /.ibm/WebSphere/App

如何在AIX上安装Oracle10201

描述在AIX上安装Oracle10201的过程. 首先检查系统是否满足数据库安装需要: # /usr/sbin/lsattr -E -l sys0 -a realmem realmem 32604160 Amount of usable physical memory in Kbytes False # /usr/sbin/lsps -a Page Space      Physical Volume   Volume Group Size %Used Active  Auto  Type Ch

如何在AIX上设置TCP/IP

在大多数 UNIX系统上用命令设置 TCP/IP,例如 ifconfig 和 route,然后通过编辑初始化文件使配置永久生效.AIX 中也可以这样做,但是使用 SMIT 做所有的配置是最好的,这样做能保证更新/etc/rc.net 和 ODM 里的信息. 1.配置 IP 地址和主机名 如同其它操作系统对 TCP/IP 的支持,AIX 首先也要配置 IP 地址和主机名,以便主机间的通讯和资源共享.使用 SMIT 是方便且可靠的方法,具体操作如下:使用 SMIT 快捷命令: # smit  mkt

如何在 AIX 系统上安装和配置 IBM OpenPages GRC

了解在 AIX 系统上安装和配置 IBM OpenPages GRC IBM OpenPages GRC 简介 IBM OpenPages GRC(Governance.Risk and Compliance)平台是一个帮助企业管理整个企业风险和合规性的综合性平台.它提供一组涵盖风险和合规性领域(包括操作风险.策略和合规性.财务控制管理.IT 治理和内部审计)的核心服务和功能组件.从而帮助管理者全面和深入了解企业管理.风险和合规性.本文旨在介绍如何在 AIX 系统上安装和配置 IBM OpenP

如何在IBM AIX上构建一个双节点的IBM GPFS集群

概述 本文的目的是为在 AIX 上安装和配置一个简单的双节点 GPFS 集群提供一个分步指南.下图提供了集群配置的可视化表示形式. 图 1. 集群配置的可视化表示形式 GPFS GPFS 提供了一个真正的 "共享文件系统" 功能,具有卓越的性能和可伸缩性.GPFS 允许一组计算机通过一个公共的存储区域网络(SAN)基础架构.一个网络或混合连接类型来同时访问一组公共的文件数据.GPFS 提供了存储管理.信息生命周期管理工具和集中式管理,还允许从提供了一个全局命名空间的远程 GPFS 集群

MaxCompute上如何处理非结构化数据

0. 前言 MaxCompute作为阿里云大数据平台的核心计算组件,拥有强大的计算能力,能够调度大量的节点做并行计算,同时对分布式计算中的failover,重试等均有一套行之有效的处理管理机制. 而MaxCompute SQL能在简明的语义上实现各种数据处理逻辑,在集团内外更是广为应用,在其上实现与各种数据源的互通,对于打通整个阿里云的数据生态具有重要意义.基于这一点,最近MaxCompute团队依托MaxCompute2.0系统架构,引入了非结构化数据处理框架:通过外部表,为各种数据在MaxC

图解在Windows和AIX上卸载DB2

本节描述了如何在 Windows 和 AIX 上卸载DB2. 在 Windows 上卸载DB2 要在 Windows 上卸载DB2,请遵照这些步骤: 使用DB2,删除 itsanmdb 数据库.Itsanmdb 是缺省名称.如果您重命名该数据库, 请删除 IBM Tivoli Storage Area Network Manager 数据库.有关删除数据库的信息,请参阅删除一个 DB2数据库. 转至任务栏并单击: 开始 --> 设置 --> 控制面板 在"控制面板"上,双击

如何在Linux上构建 RAID 10阵列

如何在Linux上构建 RAID 10阵列 RAID 10阵列(又名RAID 1+0 或先镜像后分区)通过结合RAID 0 (读写操作在多个磁盘上同时并行执行)和RAID 1(数据被完全相同地写入到两个或更多的磁盘)两者的特点实现高性能和高容错性的磁盘I/O. 这篇文章会指导你如何使用五块相同的8GB磁盘来组成一个软件RAID 10阵列.因为组成一个RAID 10阵列至少需要4块磁盘(比如,两个镜像各有一对分区组合),而且需要添加一块额外的备用磁盘以防某块主要的磁盘出错.本文也会分享一些工具,在

Linux有问必答:如何在VPS上安装和访问CentOS 7远程桌面

Linux有问必答:如何在VPS上安装和访问CentOS 7远程桌面 提问: 我想在VPS中安装CentOS桌面,并可以直接从我家远程访问GUI桌面.在VPS上设置和访问CentOS远程桌面有什么建议吗? 如何远程办公或者远程弹性化工作制在技术领域正变得越来越流行.这个趋势背后的一个技术就是远程桌面.你的桌面环境在云中,你可以在任何你去的地方,或者在家或者工作场所访问你的远程桌面. 这个教程介绍如何VPS中设置基于CentOS的远程桌面.现在,我们会先展示CentOS的基础环境. 我们假设你已经