考虑一般 IPsec 问题
在配置 IPsec 之前,了解一些常规准则会很有帮助。
IPv4 和 IPv6 流量和隧道 — 您可以将 IPsec 隧道配置为通过以下方式传输流量:通过 IPv4 IPsec 隧道传输的 IPv4 流量、通过 IPv4 IPsec 隧道传输的 IPv6 流量、通过 IPv6 IPsec 隧道传输的 IPv4 流量以及通过 IPv6 IPsec 隧道传输的 IPv6 流量。
AS 和多服务 PIC 与 ES PIC 之间的配置语法差异 — 与支持 IPsec 的 PIC 一起使用的配置语句和操作模式命令略有不同。因此,AS 和多服务 PIC 的语法不能与 ES PIC 的语法互换使用。但是,为了互操作性,可以将一种类型的 PIC 的语法转换为另一种 PIC 上的等效语法。 表 1 中突出显示了语法差异。
配置用于身份验证和加密的密钥 — 当身份验证或加密需要预共享密钥时,您必须使用 表 2 中所示的准则来实现正确的密钥大小。
拒绝弱密钥和半弱密钥 — DES 和 3DES 加密算法将拒绝弱密钥和半弱密钥。因此,请勿创建和使用包含 表 3 中列出的模式的密钥。
AS 和多服务 PIC 语句和命令 |
ES PIC 语句和命令 |
|---|---|
| 配置模式语句 | |
|
– |
[编辑服务 IPsec-VPN IKE]
|
[编辑安全 IKE]
|
[编辑服务 IPsec-VPN IPsec]
|
[编辑安全 IPsec]
|
|
|
|
[编辑安全 IPsec]
|
[编辑服务 IPsec-VPN 规则集] |
– |
[编辑服务服务集 IPsec-VPN]
|
|
| 操作模式命令 | |
清除安全性 PKI CA 证书 |
– |
清除安全 PKI 证书请求 |
– |
清除安全性 PKI 本地证书 |
– |
清除服务 IPsec-VPN 证书 |
– |
申请安全 PKI CA 证书注册 |
请求安全证书(未签名) |
请求安全 PKI CA 证书加载 |
请求添加系统证书 |
请求安全性 PKI 生成证书请求 |
– |
请求安全 PKI 生成密钥对 |
请求安全密钥对 |
请求安全 PKI 本地证书注册 |
请求安全证书(已签名) |
请求安全 PKI 本地证书加载 |
请求添加系统证书 |
|
|
|
– |
|
– |
|
|
|
|
|
|
|
|
十六进制字符数 |
ASCII 字符数 |
|
|---|---|---|
认证 |
||
HMAC-MD5-96 |
32 |
16 |
HMAC-SHA1-96 |
40 |
20 |
加密 |
||
AES-128-CBC |
16 |
32 |
AES-192-CBC |
24 |
48 |
AES-256-全血细胞计数 |
32 |
64 |
DES-CBC |
16 |
8 |
3DES-CBC |
48 |
24 |
弱键 |
|||
|---|---|---|---|
0101 |
0101 |
0101 |
0101 |
1F1F |
1F1F |
1F1F |
1F1F |
E0E0 |
E0E0 |
E0E0 |
E0E0 |
菲菲 |
菲菲 |
菲菲 |
菲菲 |
| 半弱键 | |||
01FE |
01FE |
01FE |
01FE |
1FE0 |
1FE0 |
0EF1 |
0EF1 |
01E0 |
01E0 |
01F1 |
01F1 |
1FFE |
1FFE |
0埃菲 |
0埃菲 |
011楼 |
011楼 |
010E |
010E |
E0FE |
E0FE |
F1FE |
F1FE |
FE01 |
FE01 |
FE01 |
FE01 |
E01F |
E01F |
F10E |
F10E |
E001 |
E001 |
F101 |
F101 |
FEF1 |
FEF1 |
FE0E |
FE0E |
1F01 |
1F01 |
0E01 |
0E01 |
FEE0 |
FEE0 |
FEF1 |
FEF1 |
请记住 AS PIC 上的 IPsec 服务的以下限制:
AS PIC 不会通过 IPsec 隧道传输包含 IPv4 选项的数据包。如果尝试通过 IPsec 隧道发送包含 IP 选项的数据包,则会丢弃这些数据包。此外,如果
ping通过 IPsec 隧道发出带有 记录路由 选项的命令,ping则该命令将失败。AS PIC 不会跨 IPsec 隧道传输包含以下 IPv6 选项的数据包:逐跳、目标(类型 1 和 2)和路由。如果尝试通过 IPsec 隧道发送包含这些 IPv6 选项的数据包,则会丢弃这些数据包。
AS PIC 上的 IPsec 服务不支持使用目标类。