Utilizzo di XML per definire un tunnel di gestione dei dati generico

Modifica in linea

È possibile definire un tunnel di Data Management generico utilizzando il formato XML compreso da ikedb.

Consultare la sezione intitolata Command - line interface for IKE tunnel configuration per ulteriori informazioni sull'interfaccia XML IKE e sul comando ikedb . I tunnel generici Data Management vengono utilizzati con DHCP. Il formato XML utilizza il nome tag IPSecTunnel. Viene anche indicato come tunnel fase 2 in altri contesti. Un tunnel generico Data Management non è un tunnel true, ma un IPSecProtection che viene utilizzato se un messaggio Data Management in entrata (in uno specifico tunnel Key Management) non corrisponde ad alcun tunnel Data Management definito per tale tunnel Key Management. Viene utilizzato solo nel caso in cui il sistema AIX® sia il risponditore. La specifica di un tunnel Data Management generico IPSecProtection è facoltativa.

Il tunnel generico Data Management è definito nell'elemento IKEProtection . Esistono due attributi XML, chiamati IKE_IPSecDefaultProtectionRef e IKE_IPSecDefaultAllowedTypes, che vengono utilizzati a tale scopo.

Per prima cosa, è necessario definire un IPSecProtection che si desidera utilizzare come predefinito se nessun IPSecTunnels (tunnelData Management ) corrisponde. Una IPSecProtection che deve essere utilizzata come predefinita deve avere un IPSec_ProtectionName che inizia con '_defIPSprot_.

Ora vai a IKEProtection che vuoi utilizzare per impostazione predefinita IPSecProtection. Specificare un attributo IKE_IPSecDefaultProtectionRef che contiene il nome della protezione IPSec predefinita.

È necessario specificare anche un valore per l'attributo IKE_IPSecDefaultAllowedTypes in questa IKEProtection. Può avere uno o più dei seguenti valori (se più valori, devono essere separati dallo spazio):
  Local_IPV4_Address
  Local_IPV6_Address
  Local_IPV4_Subnet
  Local_IPV6_Subnet
  Local_IPV4_Address_Range
  Local_IPV6_Address_Range
  Remote_IPV4_Address
  Remote_IPV6_Address
  Remote_IPV4_Subnet
  Remote_IPV6_Subnet
  Remote_IPV4_Address_Range
  Remote_IPV6_Address_Range

Questi valori corrispondono ai tipi di ID specificati dall'iniziatore. Nella negoziazione IKE, gli ID effettivi vengono ignorati. L'IPSecProtection specificato viene utilizzato se l'attributo IKE_IPSecDefaultAllowedTypes contiene una stringa che inizia con 'Local_, corrispondente al tipo di ID locale dell'iniziatore, e contiene una stringa che inizia con 'Remote_, corrispondente al tipo di ID remoto dell'iniziatore. In altre parole, è necessario avere almeno un valore 'Local_ e almeno un valore 'Remote_ in qualsiasi attributo IKE_IPSecDefaultAllowedTypes affinché venga utilizzato il corrispondente IPSec_Protection.